Radiografía del Slammer en Microsoft SQL

El gusano es responsable de grandes cantidades de tráfico en Internet, así como de billones de pruebas UDP/IP que hacen inaccesibles a Internet y a los servicios en línea.

Los reportes indican que los Proveedores de Servicio a Internet (ISPs), los servicios bancarios y las telecomunicaciones mundiales han sido afectadas. Severos tiempos de recuperación de datos en el Servicio de Nombres de Dominio (DNS) han causado que los sitios Web sean completamente inaccesibles. Entre los países afectados se encuentra Corea del Sur, cuya infraestructura de Internet está inmovilizada.

Este gusano saca provecho de los servidores MS/SQL vulnerables al desborde de Buffer del servicio SQL Server Resolution (CVE CAN-2002-0649). Una vez que el computador vulnerable está comprometido, el gusano infecta la máquina, y selecciona en forma aleatoria una nueva computadora, auto - envía el código maligno, e inicia su propagación en un nuevo servidor.

Chris Rouland y Dan Ingevaldson del grupo de investigación y desarrollo de ISS X-Force, responsables del descubrimiento y bautismo de este gusano, están disponibles para proveer mayor información. Por favor, llame a los números: 646-391-6659, 404-431-9843 o 404-432-8657

Impacto:

Este gusano estropea el tráfico de la red cuando explora en busca de otros objetivos que sean vulnerables. Billones de ataques han sido detectados en las últimas 12 horas desde el Centro Global de Operaciones Maliciosas de ISS (Global Threat Operations Center - GTOC).

Versiones Afectadas:

Microsoft SQL Server 2000

Microsoft Desktop Engine (MSDE) 2000

Nota: las instalaciones que no hayan sido parchadas o que sean anteriores a la versión SP3 también son vulnerables.

Descripción:

El gusano Slammer se propaga en instalaciones de Microsoft SQL que no hayan sido parchadas con el Boletín de Seguridad de Microsoft MS02-039 o posterior. La principal función del gusano Slammer es continuar su propagación. El gusano no contiene funciones de Denegación de Servicio o puertas traseras. La infección puede ser removida reiniciando la máquina, sin embargo, como no existe protección, los servidores vulnerables pueden ser rápidamente reinfectados.

El gusano Slammer busca replicarse así mismo sin comprometer otros servidores y sin retener el acceso a otras máquinas comprometidas. El gusano no infecta ni modifica archivos, ya que solamente permanece en memoria. El gusano no puede ser detenido por programas antivirus.

Recomendaciones:

La Plataforma Dinámica para Protección de Amenazas de ISS ha protegido a los clientes de ISS mediante su sensor RealSecure Network Sensor XPU 20.4 y XPU 5.3 (disponible desde 9/17/02) y posteriores versiones, y mediante su solución Internet Scanner XPU 6.15 (disponible desde 7/25/02).

La X-Force de ISS recomienda a los administradores del sistema que tomen las medidas necesarias para proteger sus redes. Para remover la infección, es necesario aplicar los parches listados a continuación, y reiniciar el servidor. Esta acción removerá el gusano de la memoria del computador.

Las siguientes actualizaciones contienen los temas descriptos en esta alerta. Estas actualizaciones están disponibles para ser descargadas desde el centro de Descargas de ISS: (http://www.iss.net/download)

Además, la X-Force de ISS recomienda bloquear el tráfico de los puertos UDP 1433 y 1434 para proteger las bases de datos SQL Server con un firewall o un filtro de paquetes.

Los clientes de Microsoft SQL Server deben ir a la siguiente dirección para obtener información y prevenir este desbordamiento de buffer:

http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

Información Adicional:

El proyecto Common Vulnerabilities and Exposures (CVE) ha recibido por nombre "CAN-2002-0649", con respecto a este tema. Este proyecto es candidato a ser incluido en la lista CVE (http://cve.mitre.org), que estandariza los nombres de los problemas de seguridad.