Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Gusano se aprovecha de contraseñas nulas en SQL Server
 
VSantivirus No. 1144 Año 7, Lunes 25 de agosto de 2003

 Gusano se aprovecha de contraseñas nulas en SQL Server
http://www.vsantivirus.com/sql-voyager-alpha-force.htm

Por Angela Ruiz
angela@videosoft.net.uy

Un gusano conocido como "Voyager Alpha Force", se aprovecha de servidores Microsoft SQL Server instalados con contraseñas de administrador en blanco (sa), para la ejecución de un archivo ejecutable descargado de un sitio FTP en las Filipinas.

Los servidores SQL permiten la gestión y el análisis de bases de datos para todos los tipos de aplicaciones de procesos empresariales, comercio electrónico y sitios de Internet en general. 

El gusano busca computadoras que estén ejecutando estos servidores, escaneando la presencia de un puerto 1433 abierto, el cuál es el puerto estándar para el Microsoft SQL Server.

Si el gusano encuentra un servidor en este puerto, intenta acceder a él con la contraseña asignada por defecto al administrador del sistema. En una instalación con valores predeterminados, estos servidores habilitan esta contraseña (sa) como nula (solo Enter).

Si el acceso es exitoso, el gusano envía la dirección IP del servidor SQL desprotegido a un canal de IRC (Internet Relay Chat), e intenta descargar y luego ejecutar un archivo localizado en un servidor FTP en Filipinas.

Al logearse con las contraseñas del usuario administrativo (sa), el gusano puede tener el acceso total a la computadora con el servidor SQL, y de acuerdo a la configuración del mismo, posiblemente también a otras computadoras.

Microsoft aconseja ciertos procedimientos para asegurar estos servidores, entre ellos el cambio de la contraseña del usuario administrativo, y por supuesto no utilizar jamás contraseñas por defecto o vacías (solo Enter), en ninguna instalación realizada. Lamentablemente, esta práctica, contra lo que podría pensarse, es mucho más común de lo que parece.

Otras recomendaciones son bloquear el puerto 1433 y asignar a estos servidores un puerto diferente.

También se aconseja ejecutar el servicio SQLServer y SQL Server Agent, bajo una cuenta de Windows NT ordinaria, y no bajo una cuenta administrativa local.

Aquellos que crean tener comprometidos sus sistemas, pueden encontrar información para recuperarlos, en los siguientes enlaces del CERT (Computer Emergency Response Team):

Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Intruder Detection Checklist
http://www.cert.org/tech_tips/intruder_detection_checklist.html

Es bueno hacer notar que este gusano se vale de una instalación inadecuada del sistema, y no de alguna falla en el software propiamente dicho.

La presencia de los siguientes archivos en un sistema SQL Server, podría indicar una infección con este gusano:

rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )

MD5 (Message Digest Algorithm #5), es un algoritmo de cifrado que realiza la comprobación de la integridad de archivos binarios, mediante la generación de códigos de control llamados "hashes", una clase de huella digital única.

Si los archivos existen, puede comprobarse si son los creados por el troyano, con alguna herramienta MD5, comparando los valores arriba indicados.

También podría ser una señal de la presencia del gusano, la aparición de la siguiente clave en el registro de Windows:

\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
TaskReg

Las siguientes claves, normalmente son agregadas en la instalación normal de un servidor SQL, pero también son usadas por el gusano para controlar su acceso a la computadora utilizando las librerías de redes TCP/IP:

\SOFTWARE\Microsoft\MSSQLServer\Client
\SuperSocketNetLib\ProtocolOrder

\SOFTWARE\Microsoft\MSSQLServer\Client
\ConnectTo\DSQUERY

El gusano hace uso del procedimiento "xp_cmdshell" para ejecutar comandos del sistema operativo, con los mismos permisos de la cuenta en que se esté ejecutando el SQL Server.

Los siguientes enlaces proveen información para hacer más seguro un servidor SQL:

http://www.microsoft.com/technet/prodtechnol/sql/maintain/security/sp3sec/Default.asp
http://www.microsoft.com/sql/techinfo/administration/2000/security/default.asp

Esta advertencia se aplica a los siguientes productos:

Microsoft SQL Server 2000 (todas las ediciones)
Microsoft SQL Server 7.0
Microsoft Data Engine (MSDE) 1.0

Del gusano propiamente dicho (llamado "Voyager Alpha Force"), no hay al momento una descripción más detallada.


Más información:

Microsoft Knowledge Base Article - 313418
PRB: Unsecured SQL Server with Blank (NULL) SA Password
Leaves Vulnerability to a Worm
http://support.microsoft.com/default.aspx?scid=kb;en-us;313418




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS