[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2003-004
Gusano MS-SQL
------------------------------------------------------------------
El CERT/UNAM-CERT , a traves de sus equipos de respuesta a
incidentes de Seguridad en Computo, han emitido este boletin en el
cual informan que en las ultimas 24 horas se han estado recibiendo
reportes que indican la existencia de un gusano con caracteristicas
de codigo malicioso con la capacidad de autoreplicarse por si mismo
atraves de la red y que basa su funcionamiento en la explotacion de
multiples vulnerabilidades en el Servicio de Resolucion de la
aplicacion Microsoft SQL server 2000.
La propagacion de este gusano ha causado una gran variedad de niveles
de degradacion en el desempen~o y funcionamiento de la red en todo
el internet, ademas de comprometer diversas maquinas vulnerables a
dicho servicio.
Fecha de
Liberacion: 25 de Enero de 2003
Ultima Revision: ---
CERT/CC y diversos
Fuente: reportes de Equipos de
Respuesta a
Incidentes, asi como distintos foros de discusion.
SISTEMAS AFECTADOS
------------------
* Sistemas con Microsoft SQL Server 2000
DESCRIPCION
-----------
El gusano mencionado anteriormente busca por equipos de computo
conteniendo el servidor SQL para poderse propagar y asi extender su
codigo malicioso a traves de la red, basandose para ello de dos
principales vulnerabilidades contenidas en el Servicio de Resolucion
de la aplicacion Microsoft SQL Server 2000. La vulnerabilidad
documentada y etiquetada como VU#370308 permite mantener el demonio
de la aplicacion listo, este demonio es empleado por el Servicio de
Resolucion del Servidor SQL para lanzar un ataque de negacion de
servicio a otros equipos. Cualquiera de las dos vulnerabilidades
VU#399260 o VU#484891 permiten la ejecucion de codigo arbitrario
dentro de los servidores que contienen la aplicacion SQL y pueden
ocasionar un problema del tipo de desboramiento de pila(buffer
overflow) en el equipo.
Para una mayor referencia a dichas vulnerabilidades, consultar:
VU#370308 - http://www.kb.cert.org/vuls/id/370308
VU#399260 - http://www.kb.cert.org/vuls/id/399260
VU#484891 - http://www.kb.cert.org/vuls/id/484891
Diversos reportes en los mas de 112 Equipos de Respuesta a
Incidentes, indican que el alto volumen de trafico es dirigido al
puerto 1434/udp generado por equipos comprometidos e infectados por
dicho gusano y buscan periodicamente equipos en todo el internet con
servidores SQL que le permitan infectar y aplicar sus
efectos(incluyendo condiciones propias de un ataque de negacion de
servicio) en redes con equipos comprometidos.
La actividad de este gusano es facil de identificar dentro de un
entorno de red, en la cual se podra detectar atraves de la
presencia de pequen~os paquetes UDP(al momento se han recibido
reportes de paquetes de taman~o de 376-410 bytes), dichos paquetes
son dirigidos de forma aleatoria atraves del internet al puerto
1434/udp.
IMPACTO
-------
Cuando un equipo es comprometido, esto puede implicar que el intruso
externo puede ejecutar de forma remota codigo arbitrario como si
estuviera en el sistema de forma local. Esto puede llevar al intruso
de forma subsecuente a obtener niveles de escalacion de privilegios
de forma local hasta obtener acceso de administrador en la maquina
afectada.
El alto volumen de trafico 1434/udp generado entre los equipos
infectados con el gusano puede conducir a la degradacion en el
rendimiento y desempen~o de la red de ambos equipos(equipo infectado
y equipos en busqueda de gusanos), mas no asi en equipos no
vulnerables.
SOLUCION
--------
* Aplicar un parche
Se recomienda ampliamente que a la brevedad todos los administradores
de sistemas que utilicen y tengan en produccion Microsoft SQL Server
2000 revisen el boletin del UNAM-CERT 2002-022 y la vulnerabilidad
VU#370308 para que apliquen las medidas recomendadas por los
fabricantes para la instalacion optima de los siguientes parches:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
Boletin UNAM-CERT-2002-022
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-022.html
http://www.cert.org/advisories/CA-2002-22.html
VU#370308 - http://www.kb.cert.org/vuls/id/370308
* Reglas de Filtrado de Entrada/Salida.
Los siguientes pasos son solo validos para limitar el dan~o en
aquellos equipos que se encuentren afectados por dicho gusano. Estos
pasos no proveen proteccion contra aquellos equipos que inicien la
infeccion de sistemas. Como resultado de lo anterior, dichos pasos
son solo recomendaciones y deberan ser llevados a cabo como medida
adicional a lo ya descrito anteriormente(parches descritos arriba).
Manejar reglas de filtrado de entrada nos permitira manejar el flujo
de trafico que entra a nuestra red y que operara bajo nuestra
administracion y control. Los servidores son generalmente equipos que
aceptan trafico entrante del internet. Dentro de las politicas de
uso en la mayoria de los sitios, solo es permitido el trafico externo
a equipos de la red interna que provean servicios de dominio publico
y que vaya dirigido a ciertos puertos(p.ej. el correo electronico,
pto. 25). Asi de esta forma el filtrado de entrada debera ser la
primera linea limitrofe para prohibir trafico externo dirigido a los
servicios no autorizados de su red interna, especificamente a los
servicios descritos en este boletin.
Las reglas de salida controlan todo aquel flujo de trafico que
abandona la red que se encuentra bajo nuestra administracion y
control. Existen comunmente una gran variedad de servicios y
aplicaciones publicas a los cuales dicho trafico ira dirigido y que
saldra al trafico de internet.
En el caso del gusano, con el uso apropiado de reglas de filtrado de
entrada/salida nos ayudara a mitigar el grado de exposicion de
nuestra red interna, asi como trafico inecesario proveniente del
exterior. Atraves del bloqueo de puertos UDP tanto en los puertos de
entrada y de salida dirigidos al UDP/1434, nos ayudara en gran medida
a reducir el riesgo de infeccion e intentos de conexion del exterior
con equipos de la red interna.
* Recuperar el sistema en un sistema comprometido
Si usted sospecha que su sistema ha sido comprometido le
recomendamos leer los pasos descritos en los manuales que mantiene
el UNAM-CERT y que actualmente se encuentran en la siguientes
direcciones:
* Deteccion de Intrusos en UNIX
http://www.unam-cert.unam.mx/deteccion_intrusos.html
* Deteccion de Intrusos en Windows
http://www.unam-cert.unam.mx/intrusos-windows.html
APENDICE A. Informacion Adicional
----------------------------------------
Este apendice contiene informacion que puede ser util
para aquellos administradores de sistemas que administren
redes corporativas y les pueda servir a detectar con mayor
rapidez en sus redes dichos servidores comprometidos.
* Existe un Escaner desarrollado por la empresa eeye y que esta
disponible del siguiente URL.
http://www.eeye.com/html/Research/Tools/SapphireSQL.html
* Para mayor informacion del gusano SQL Sapphire
http://www.eeye.com/html/Research/Flash/AL20030125.html
INFORMACION
-----------
Este documento se encuentra disponible en su formato original en
la siguiente direccion:
http://www.cert.org/advisories/CA-2003-04.html
Para mayor informacion acerca de este boletin de seguridad
contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
Charset: cp850
iQEVAwUBPjOhXXAvLUtwgRsVAQHTwwgApKDgC4YLXttAsC52l1i5tGklM9xe7tlJ
e59Q8ywZE/frzRkD3kUcPYrJjyEXHYUyhO+H24yC1PpnhGR+lBUtqyvvkuY7Chlh
pcPkaFDzPnqCEiZY7+DaBFBhNioUuL4jvwEByj2w4sujTy3Ied9JoQ7AXpMzaZFh
frVeZk7/v9ZtaJh1wv+D0Z6P6Y2p4guhCv8SMxjlMmFkKTIWtyUAMGm9zyRnec6h
uWqEnHEKYFaL7il3pxqhZt+YzSEmo1NOmcBTokr7di6qiq/UovX4hw++YpEYPEya
7YtdUomi8I2M8tJW0tSINkgK+WJucRxA34LbNXJczPmAElYkkpINtA==
=L9Z8
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/