Darse de Alta/Baja en Titulares Viva

domotica viva

Página principal

Solicitar presupuesto

Nuestros Servicios

Entre en el Mundo de la Domotica

DomoViva

Alerta: Gusano para MS-SQL

El: 27/01/2003
 Fuente: www.hispasec.com Por Bernardo Quintero

El sábado se detectó en Internet la acción de un nuevo gusano para MS-SQL. Saphire, MS-SQL Slammer o W32.SQLExp.Worm, como ha sido bautizado, aprovecha un desbordamiento de buffer para infectar de forma automática los servidores vulnerables.

Microsoft SQL Server 2000 y Microsoft Desktop Engine 2000 permiten hospedar múltiples instancias del servidor SQL en el mismo ordenador, cada uno de los cuales funcionaría, a todos los efectos, como servidores independientes. Como todas estas instancias no pueden atender al mismo tiempo las peticiones por el puerto estándar de MS-SQL, TCP/1433, se asigna a cada uno de los servidores SQL virtuales un puerto TCP diferente. Para que los clientes puedan consultar cual es el puerto TCP asignado a un servidor SQL virtual en particular, existe un servicio de resolución que escucha en el puerto UDP 1434.

El gusano actúa enviando un paquete UDP de 376 bytes al puerto 1434, y aprovecha una vulnerabilidad de desbordamiento de buffer existente en este servicio para forzar la ejecución automática del código. Esta vulnerabilidad fue documentada por Microsoft el 24 de julio de 2002, fecha desde la que está disponible un parche específico para corregirla.

Los servidores MS-SQL que no instalaran el parche específico o el Service Pack 3, se infectarán al recibir el paquete UDP de 376 bytes, la longitud total de este pequeño gusano. Como dificultad añadida, el gusano no se escribe como archivo, sólo existe en la memoria de los sistemas infectados, lo que sin duda complicará la detección por parte de los antivirus.

Cada vez que el gusano infecta un servidor MS-SQL, comienza su rutina de propagación aprovechando la API "GetTickCount" para construir direcciones IP al azar a las que enviar su código al puerto UDP 1434. El gusano envía paquetes multicast, de forma que en cada envío el código puede llegar hasta 255 máquinas de una subred, dotándolo de una velocidad inaudita hasta la fecha en este tipo de gusanos. El ancho de banda que consume es tal que puede provocar denegaciones de servicios y una ralentización generalizada en las comunicaciones debido al tráfico del gusano.

Hispasec recomienda a los servidores afectados y/o vulnerables la instalación inmediata del Service Pack 3 para MS-SQL. Tras reiniciar, para que la actualización se haga efectiva, el gusano desaparecerá de memoria en caso de que estuviera en el sistema, y el parche evitará que vuelva a ser infectado.
-Como medida preventiva adicional, bloquear a nivel de firewall el tráfico indiscriminado hacia el puerto UDP 1434. Vigilar el tráfico de la red para detectar envíos masivos de paquetes UDP/1434 e identificar así a servidores que pudieran haber sido infectados.

www.domoticaviva.com                      Gracias por visitarnos                             Domótica Viva, S.L.

Damos Vida a la Domótica que usted pueda necesitar