Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
La historia reciente del gusano de SQL
|
|
VSantivirus No. 504 - Año 6 - Sábado 24 de noviembre de 2001
La historia reciente del gusano de SQL
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Aunque algunos fabricantes de antivirus ya lo detectan, la variedad de nombres, y la poca información sobre este nuevo gusano, solo ha causado cierta confusión y algunos titulares apocalípticos en medios de prensa.
El gusano de SQL, llamado "W32/Cblade.worm" por McAfee, "SQL worm" por F-Secure o "Voyager Alpha Force" o "Ninja Trojan" por otros, simplemente parece ser "el mismo perro con distinto collar". Al menos, es seguro que las versiones que se han detectado se basan en la misma falla para su acción, y pueden ser evoluciones lógicas de un concepto original.
Estos son los datos que hemos recogido hasta ahora.
El gusano fue detectado por primera vez el lunes 19 de noviembre de 2001, y por lo que se supo en un primer examen, ataca servidores que corren el software Microsoft SQL Server, y cuya contraseña para la cuenta de administrador no ha sido cambiada (por defecto deja esta en blanco). SQL Server es un sistema de bases de datos relacionadas, muy popular en el desarrollo de sitios Web.
Conectándose a estos servidores a través del puerto TCP 1433, el gusano se aprovecha de la falta de contraseña para ganar acceso al sistema.
Utiliza entonces el procedimiento XP_CMDSHELL para acceder al entorno DOS, donde ejecuta el comando FTP para descargar del sitio philamuseum.netreach.net (ya dado de baja), un par de archivos binarios. Luego, ejecutaría esos archivos, que corresponden al componente de descarga que baja los dos archivos del sitio FTP, y al backdoor que se instala en el servidor, y que se encarga de la propagación, repitiendo la secuencia mediante la búsqueda por el puerto 1433 de otras máquinas vulnerables.
Al depender de un sitio predeterminado en su código para descargar sus elementos, esta situación fue controlada inmediatamente con la clausura del mencionado FTP.
Cuando las noticias indicaban que solo se trataba de una prueba de concepto (demostrar que es posible aprovecharse de una conocida vulnerabilidad), surgieron casi 24 horas después, nuevos indicios de una "reencarnación" del mismo gusano, o al menos de uno que se aprovecha de la misma vulnerabilidad.
Según la información disponible, el martes 20, un usuario llamado Douglas P. Brown
(doug@unc.edu), reportó a una lista de correo del sitio de seguridad "SecurityFocus" (Incidents, incidents@securityfocus.com), la detección de un gusano, en ese momento ampliamente distribuido, intentando establecer conexiones a través del puerto TCP 1433, y usando XP_CMDSHELL para descargar los archivos "win32mon.exe" y "dnsservice.exe" de otro sitio FTP.
Al producirse la descarga de ambos, el propio gusano ejecuta al segundo archivo (dnsservice.exe), el cuál intenta una conexión a un canal protegido por contraseña de un servidor IRC (Internet Relay Chat), donde se reporta avisando que está disponible para recibir ordenes externas, pudiendo por lo tanto ser controlado manualmente en forma remota.
En esta primera metamorfosis, el gusano fue catalogado como una herramienta para provocar ataques específicos, a la que se llamó "Voyager Alpha Force".
Una vez más, el cierre del sitio FTP y del servidor de IRC, parecieron detener la propagación y acciones futuras del gusano. Pero a pesar de ello, y según SecurityFocus, la incidencia de reportes del mismo habían aumentado en un 600% hasta el momento.
Por otra parte, pruebas recientes sobre el componente "dnsservice.exe", demostraron que aún era capaz de conectarse, luego de varios intentos, a un servidor de IRC (por el puerto TCP 6669). En dicho servidor se detectó la presencia de varios "bots" (copias de usuarios), y por lo menos un "humano", quien podría dirigir a alguno de los "bots" para realizar ataques de negación de servicio (D.D.o.S, Distributed Denial of Service).
Por lo pronto, la mejor protección consiste en asegurar por contraseña el acceso a los servidores SQL instalados.
Los servidores SQL de Microsoft, poseen un modo mixto de autentificación habilitado por defecto, lo que incluye una cuenta SA (administrador del sistema) con la contraseña en blanco al instalarse (al menos que se la cambie, cosa que es muy poco común hacer).
Esto, pone al alcance de cualquier atacante el procedimiento XP_CMDSHELL para acceder al modo comando del DOS. Son vulnerables las versiones de Microsoft SQL 6.5 y anteriores, no la 7.0, que se instala utilizando por defecto la autentificación NT, no la del modo mixto.
Los consejos son obvios. Asegurar con contraseña la cuenta SA sería lo primero. También se aconseja la eliminación del procedimiento XP_CMDSHELL, que usted no necesitará a menos que requiera un acceso a DOS durante una consulta al servidor SQL. De cualquier modo, podrá reinstalarlo en cualquier momento si fuera necesario.
El otro consejo, es cerrar con un cortafuegos el puerto TCP 1433.
Referencias:
SecurityFocus(TM) Identifies New DDoS Tool
http://www.securityfocus.com/
MS SQL Worm: More Information
http://www.incidents.org/diary/diary.php?id=82
VSantivirus No. 501 - 21/nov/01
Señal de alerta: un gusano que ataca servidores SQL
http://www.vsantivirus.com/21-11-01a.htm
VSantivirus No. 502 - 22/nov/01
Gusano de SQL aumenta su propagación 600% en seis horas
http://www.vsantivirus.com/22-11-01a.htm
Glosario
D.D.o.S (Distributed Denial of Service) - Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima, un servidor o cualquier computadora conectada a Internet, la que recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
BOT - Copia de un usuario (originalmente en un canal de IRC), generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|