Problèmes de SPAM via le service Microsoft Messenger
Date : 28 Juin 2005
Description du problème :
Le SPAM, qui, comme chacun sait, est le phénomène "permettant" la diffusion de courrier électronique non sollicité s'est vu complété ce mois-ci d'une nouvelle méthode de propagation. Ces courriers indésirables envoyés en masse s'attaquent aujourd'hui au service de "messagerie" des systèmes Microsoft. En effet, le service "Messenger" des systèmes Microsoft Windows (activé par défaut) permet d'afficher sur un poste distant un message d'avertissement sous la forme d'une boîte de dialogue. Ce type de communication utilise les ports Microsoft DCE/RPC standards (ports 135 - "RPC endpoint mapper" - et un port "de retour" >1024) et NetBIOS (ports 137-139, 445) et ne nécessite pas d'authentification préalable.
Ainsi, il a été constaté un phénomène non négligeable de SPAM via ce service de "messagerie". Les utilisateurs voyaient ainsi apparaître sur leur poste de travail Microsoft des fenêtres contenant des informations à caractère publicitaire.
Solution :
Afin de se protéger contre ce nouveau type de SPAM, il est conseillé d'appliquer en bordure du réseau local les règles de filtrages élémentaires concernant le trafic Microsoft DCE/RPC (135 et les ports > 1024 en dehors de connexions établies) et NetBIOS (TCP et UDP – ports 137-139 et 445).
Nota : le service de messagerie "Messenger" ne doit pas être confondu avec le logiciel "MSN Messenger" (messagerie instantanée de Microsoft).
Pour plus d'information :
- Avis du CIAC : http://www.ciac.org/ciac/techbull/CIACTech03-001.shtml
- Information de myNetWatchman : http://mynetwatchman.com/kb/security/articles/popupspam/index.htm