[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletin de Seguridad UNAM-CERT 2003-004 Gusano MS-SQL ------------------------------------------------------------------ El CERT/UNAM-CERT , a traves de sus equipos de respuesta a incidentes de Seguridad en Computo, han emitido este boletin en el cual informan que en las ultimas 24 horas se han estado recibiendo reportes que indican la existencia de un gusano con caracteristicas de codigo malicioso con la capacidad de autoreplicarse por si mismo atraves de la red y que basa su funcionamiento en la explotacion de multiples vulnerabilidades en el Servicio de Resolucion de la aplicacion Microsoft SQL server 2000. La propagacion de este gusano ha causado una gran variedad de niveles de degradacion en el desempen~o y funcionamiento de la red en todo el internet, ademas de comprometer diversas maquinas vulnerables a dicho servicio. Fecha de Liberacion: 25 de Enero de 2003 Ultima Revision: --- CERT/CC y diversos Fuente: reportes de Equipos de Respuesta a Incidentes, asi como distintos foros de discusion. SISTEMAS AFECTADOS ------------------ * Sistemas con Microsoft SQL Server 2000 DESCRIPCION ----------- El gusano mencionado anteriormente busca por equipos de computo conteniendo el servidor SQL para poderse propagar y asi extender su codigo malicioso a traves de la red, basandose para ello de dos principales vulnerabilidades contenidas en el Servicio de Resolucion de la aplicacion Microsoft SQL Server 2000. La vulnerabilidad documentada y etiquetada como VU#370308 permite mantener el demonio de la aplicacion listo, este demonio es empleado por el Servicio de Resolucion del Servidor SQL para lanzar un ataque de negacion de servicio a otros equipos. Cualquiera de las dos vulnerabilidades VU#399260 o VU#484891 permiten la ejecucion de codigo arbitrario dentro de los servidores que contienen la aplicacion SQL y pueden ocasionar un problema del tipo de desboramiento de pila(buffer overflow) en el equipo. Para una mayor referencia a dichas vulnerabilidades, consultar: VU#370308 - http://www.kb.cert.org/vuls/id/370308 VU#399260 - http://www.kb.cert.org/vuls/id/399260 VU#484891 - http://www.kb.cert.org/vuls/id/484891 Diversos reportes en los mas de 112 Equipos de Respuesta a Incidentes, indican que el alto volumen de trafico es dirigido al puerto 1434/udp generado por equipos comprometidos e infectados por dicho gusano y buscan periodicamente equipos en todo el internet con servidores SQL que le permitan infectar y aplicar sus efectos(incluyendo condiciones propias de un ataque de negacion de servicio) en redes con equipos comprometidos. La actividad de este gusano es facil de identificar dentro de un entorno de red, en la cual se podra detectar atraves de la presencia de pequen~os paquetes UDP(al momento se han recibido reportes de paquetes de taman~o de 376-410 bytes), dichos paquetes son dirigidos de forma aleatoria atraves del internet al puerto 1434/udp. IMPACTO ------- Cuando un equipo es comprometido, esto puede implicar que el intruso externo puede ejecutar de forma remota codigo arbitrario como si estuviera en el sistema de forma local. Esto puede llevar al intruso de forma subsecuente a obtener niveles de escalacion de privilegios de forma local hasta obtener acceso de administrador en la maquina afectada. El alto volumen de trafico 1434/udp generado entre los equipos infectados con el gusano puede conducir a la degradacion en el rendimiento y desempen~o de la red de ambos equipos(equipo infectado y equipos en busqueda de gusanos), mas no asi en equipos no vulnerables. SOLUCION -------- * Aplicar un parche Se recomienda ampliamente que a la brevedad todos los administradores de sistemas que utilicen y tengan en produccion Microsoft SQL Server 2000 revisen el boletin del UNAM-CERT 2002-022 y la vulnerabilidad VU#370308 para que apliquen las medidas recomendadas por los fabricantes para la instalacion optima de los siguientes parches: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp Boletin UNAM-CERT-2002-022 http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-022.html http://www.cert.org/advisories/CA-2002-22.html VU#370308 - http://www.kb.cert.org/vuls/id/370308 * Reglas de Filtrado de Entrada/Salida. Los siguientes pasos son solo validos para limitar el dan~o en aquellos equipos que se encuentren afectados por dicho gusano. Estos pasos no proveen proteccion contra aquellos equipos que inicien la infeccion de sistemas. Como resultado de lo anterior, dichos pasos son solo recomendaciones y deberan ser llevados a cabo como medida adicional a lo ya descrito anteriormente(parches descritos arriba). Manejar reglas de filtrado de entrada nos permitira manejar el flujo de trafico que entra a nuestra red y que operara bajo nuestra administracion y control. Los servidores son generalmente equipos que aceptan trafico entrante del internet. Dentro de las politicas de uso en la mayoria de los sitios, solo es permitido el trafico externo a equipos de la red interna que provean servicios de dominio publico y que vaya dirigido a ciertos puertos(p.ej. el correo electronico, pto. 25). Asi de esta forma el filtrado de entrada debera ser la primera linea limitrofe para prohibir trafico externo dirigido a los servicios no autorizados de su red interna, especificamente a los servicios descritos en este boletin. Las reglas de salida controlan todo aquel flujo de trafico que abandona la red que se encuentra bajo nuestra administracion y control. Existen comunmente una gran variedad de servicios y aplicaciones publicas a los cuales dicho trafico ira dirigido y que saldra al trafico de internet. En el caso del gusano, con el uso apropiado de reglas de filtrado de entrada/salida nos ayudara a mitigar el grado de exposicion de nuestra red interna, asi como trafico inecesario proveniente del exterior. Atraves del bloqueo de puertos UDP tanto en los puertos de entrada y de salida dirigidos al UDP/1434, nos ayudara en gran medida a reducir el riesgo de infeccion e intentos de conexion del exterior con equipos de la red interna. * Recuperar el sistema en un sistema comprometido Si usted sospecha que su sistema ha sido comprometido le recomendamos leer los pasos descritos en los manuales que mantiene el UNAM-CERT y que actualmente se encuentran en la siguientes direcciones: * Deteccion de Intrusos en UNIX http://www.unam-cert.unam.mx/deteccion_intrusos.html * Deteccion de Intrusos en Windows http://www.unam-cert.unam.mx/intrusos-windows.html APENDICE A. Informacion Adicional ---------------------------------------- Este apendice contiene informacion que puede ser util para aquellos administradores de sistemas que administren redes corporativas y les pueda servir a detectar con mayor rapidez en sus redes dichos servidores comprometidos. * Existe un Escaner desarrollado por la empresa eeye y que esta disponible del siguiente URL. http://www.eeye.com/html/Research/Tools/SapphireSQL.html * Para mayor informacion del gusano SQL Sapphire http://www.eeye.com/html/Research/Flash/AL20030125.html INFORMACION ----------- Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.cert.org/advisories/CA-2003-04.html Para mayor informacion acerca de este boletin de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 Charset: cp850 iQEVAwUBPjOhXXAvLUtwgRsVAQHTwwgApKDgC4YLXttAsC52l1i5tGklM9xe7tlJ e59Q8ywZE/frzRkD3kUcPYrJjyEXHYUyhO+H24yC1PpnhGR+lBUtqyvvkuY7Chlh pcPkaFDzPnqCEiZY7+DaBFBhNioUuL4jvwEByj2w4sujTy3Ied9JoQ7AXpMzaZFh frVeZk7/v9ZtaJh1wv+D0Z6P6Y2p4guhCv8SMxjlMmFkKTIWtyUAMGm9zyRnec6h uWqEnHEKYFaL7il3pxqhZt+YzSEmo1NOmcBTokr7di6qiq/UovX4hw++YpEYPEya 7YtdUomi8I2M8tJW0tSINkgK+WJucRxA34LbNXJczPmAElYkkpINtA== =L9Z8 -----END PGP SIGNATURE----- Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/