Adelantamos unas horas la salida del «una-al-día» correspondiente al
día 26 para informar del incremento de tráfico UDP/1434 detectado
hoy sábado en Internet por la acción de un nuevo gusano para MS-SQL.
«Saphire», «MS-SQL Slammer» o «W32.SQLExp.Worm», como ha sido
bautizado, aprovecha un desbordamiento de buffer para infectar de
forma automática los servidores vulnerables.
Microsoft SQL Server 2000 y Microsoft Desktop Engine 2000 permiten
hospedar múltiples instancias del servidor SQL en el mismo ordenador,
cada uno de los cuales funcionaría, a todos los efectos, como
servidores independientes. Como todas estas instancias no pueden
atender al mismo tiempo las peticiones por el puerto estándar de
MS-SQL, TCP/1433, se asigna a cada uno de los servidores SQL virtuales
un puerto TCP diferente. Para que los clientes pueda consultar cual
es el puerto TCP asignado a un servidor SQL virtual en particular,
existe un servicio de resolución que escucha en el puerto UDP 1434.
El gusano actúa enviando un paquete UDP de 376 bytes al puerto 1434,
y aprovecha una vulnerabilidad de desbordamiento de buffer existente
en este servicio para forzar la ejecución automática del código. Esta
vulnerabilidad fue documentada por Microsoft el 24 de julio de 2002,
fecha desde la que está disponible un parche específico para
corregirla: http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
Los servidores MS-SQL que no instalaran el parche específico o el
Service Pack 3, se infectarán al recibir el paquete UDP de 376 bytes,
la longitud total de este pequeño gusano. Como dificultad añadida,
el gusano no se escribe como archivo, sólo existe en la memoria de los
sistemas infectados, lo que sin duda complicará la detección por parte
de los antivirus.
Cada vez que el gusano infecta un servidor MS-SQL, comienza su rutina
de propagación aprovechando la API «GetTickCount» para construir
direcciones IP al azar a las que enviar su código al puerto UDP 1434.
El gusano envía paquetes multicast, de forma que en cada envío el
código puede llegar hasta 255 máquinas de una subred, dotándolo de
una velocidad inaudita hasta la fecha en este tipo de gusanos. El
ancho de banda que consume es tal que puede provocar denegaciones
de servicios y un enlentecimiento generalizado en las comunicaciones
debido al tráfico del gusano.
– Hispasec recomienda a los servidores afectados y/o vulnerables
la instalación inmediata del Service Pack 3 para MS-SQL:
http://www.microsoft.com/sql/downloads/2000/sp3.asp
– Como medida preventiva adicional, bloquear a nivel de firewall
el tráfico indiscriminado hacia el puerto UDP 1434. Vigilar el
tráfico de la red para detectar envíos masivos de paquetes
UDP/1434 e identificar así a servidores que pudieran haber sido
infectados.
bernardo@hispasec.com
Más información:
Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
CERT Advisory CA-2003-04 MS-SQL Server Worm
http://www.cert.org/advisories/CA-2003-04.html
W32/SQLSlammer.worm
http://vil.nai.com/vil/content/v_99992.htm
W32.SQLExp.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html
Deja una respuesta