Aller au contenu

WinNuke

Un article de Wikipédia, l'encyclopédie libre.
Ceci est une version archivée de cette page, en date du 4 septembre 2021 à 11:23 et modifiée en dernier par Oumar Sadio (discuter | contributions). Elle peut contenir des erreurs, des inexactitudes ou des contenus vandalisés non présents dans la version actuelle.

Le terme WinNuke se réfère à une commande permettant une attaque par déni de service qui a affecté plusieurs systèmes d'exploitation de Microsoft : Windows 95, Windows NT et Windows 3.1x. La commande résulte en un célèbre « écran bleu de la mort ».

Description

L'exploit envoie une chaîne de données hors-bande (en) à l'ordinateur cible sur le port TCP 139 (NetBIOS)[1], l'amenant à se bloquer et à afficher un écran bleu de la mort . Cela n'endommage ni ne modifie les données sur le disque dur de l'ordinateur, mais les données non enregistrées sont perdues.

Le paquet malveillant TCP contient un pointeur urgent (URG) dans son en-tête. Le pointeur urgent est un domaine rarement utilisé dans l'en-tête TCP, dont le but est d'indiquer que certaines des données dans le flux doivent être traitées rapidement par le destinataire. Les systèmes d'exploitation affectés ne manipulent pas le pointeur urgent correctement.

Un internaute dénommé « _eci » publia le code C de l'exploit le [1]. Le code source étant alors largement utilisé et distribué, Microsoft a été contraint de créer des patches de sécurité, qui ont été diffusés quelques semaines plus tard. Pendant un certain temps, de nombreuses versions de la commande sont apparues sous divers noms tels que fedup, gimp, killme, killwin, knewkem, liquidnuke, mnuke, netnuke, muerte, nuke, nukeattack, nuker102, pnewq, projet1, pstlince, simportnuke, sprite, sprite32, VConnect, vzmnuker, wingenocide, winnukeit, winnuker02, winnukev95, wnuke3269, wnuke4, et wnuke95.

Une société néo-zélandaise appelée SemiSoft Solutions a créé un programme appelé AntiNuke, qui bloque WinNuke sans avoir à installer le patch officiel[2].

En 2002, une seconde incarnation de WinNuke, utilisant un exploit similaire, a été trouvée[3].

Notes et références

  1. a et b « (en)Windows NT/95/3.11 Out Of Band (OOB) data barf », sur insecure.org, (consulté le )
  2. « (en)Windows OOB Bug, also known as WinNuke », sur robert.grefstad.com (consulté le )
  3. James Michael Stewart, « (en)WinNuke lives on, and it's coming to a system near you », sur www.techrepublic.com, (consulté le )

Voir aussi