Impacto:
Este gusano estropea el tráfico de la red cuando explora en busca de otros objetivos que sean vulnerables. Billones de ataques han sido detectados en las últimas 12 horas desde el Centro Global de Operaciones Maliciosas de ISS (Global Threat Operations Center - GTOC).
Versiones Afectadas:
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000
Nota: las instalaciones que no hayan sido parchadas o que sean anteriores a la versión SP3 también son vulnerables.
Descripción:
El gusano Slammer se propaga en instalaciones de Microsoft SQL que no hayan sido parchadas con el Boletín de Seguridad de Microsoft MS02-039 o posterior. La principal función del gusano Slammer es continuar su propagación. El gusano no contiene funciones de Denegación de Servicio o puertas traseras. La infección puede ser removida reiniciando la máquina, sin embargo, como no existe protección, los servidores vulnerables pueden ser rápidamente reinfectados.
El gusano Slammer busca replicarse así mismo sin comprometer otros servidores y sin retener el acceso a otras máquinas comprometidas. El gusano no infecta ni modifica archivos, ya que solamente permanece en memoria. El gusano no puede ser detenido por programas antivirus.
Recomendaciones:
La Plataforma Dinámica para Protección de Amenazas de ISS ha protegido a los clientes de ISS mediante su sensor RealSecure Network Sensor XPU 20.4 y XPU 5.3 (disponible desde 9/17/02) y posteriores versiones, y mediante su solución Internet Scanner XPU 6.15 (disponible desde 7/25/02).
La X-Force de ISS recomienda a los administradores del sistema que tomen las medidas necesarias para proteger sus redes. Para remover la infección, es necesario aplicar los parches listados a continuación, y reiniciar el servidor. Esta acción removerá el gusano de la memoria del computador.
Las siguientes actualizaciones contienen los temas descriptos en esta alerta. Estas actualizaciones están disponibles para ser descargadas desde el centro de Descargas de ISS: (http://www.iss.net/download)
Además, la X-Force de ISS recomienda bloquear el tráfico de los puertos UDP 1433 y 1434 para proteger las bases de datos SQL Server con un firewall o un filtro de paquetes.
Los clientes de Microsoft SQL Server deben ir a la siguiente dirección para obtener información y prevenir este desbordamiento de buffer:
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
Información Adicional:
El proyecto Common Vulnerabilities and Exposures (CVE) ha recibido por nombre "CAN-2002-0649", con respecto a este tema. Este proyecto es candidato a ser incluido en la lista CVE (http://cve.mitre.org), que estandariza los nombres de los problemas de seguridad.
