[Linux] Boletin-UNAM-CERT-2003-004 "Gusano MS-SQL"

To: UNAM-CERT <unam-cert en seguridad unam mx>
Subject: [Linux] Boletin-UNAM-CERT-2003-004 "Gusano MS-SQL"
From: UNAM-CERT <unam-cert en seguridad unam mx>
Date: Sun, 26 Jan 2003 02:50:27 -0600 (CST)
In-reply-to: <Pine.GSO.4.10.10301231758250.19309-100000@bug.seguridad.unam.mx>
Reply-to: linux en opensource org mx
Sender: owner-linux en opensource org mx
-----BEGIN PGP SIGNED MESSAGE-----

     ------------------------------------------------------------------
                                 UNAM-CERT

                    Departamento de Seguridad en Computo
                                DGSCA- UNAM

                  Boletin de Seguridad UNAM-CERT 2003-004

                               Gusano MS-SQL
     ------------------------------------------------------------------

     El   CERT/UNAM-CERT , a traves  de  sus  equipos  de respuesta  a
     incidentes de Seguridad en Computo, han emitido este boletin en el
     cual  informan que en las ultimas 24 horas se han estado recibiendo 
     reportes que indican la existencia de un gusano con caracteristicas 
     de codigo malicioso con la capacidad de autoreplicarse por si mismo
     atraves de la red y que basa su funcionamiento en la explotacion de
     multiples vulnerabilidades en el Servicio de Resolucion de la
     aplicacion Microsoft SQL server 2000. 

     La propagacion de este gusano ha causado una gran variedad de niveles
     de degradacion en el desempen~o y funcionamiento de la red en todo
     el internet, ademas de comprometer diversas maquinas vulnerables a
     dicho servicio.

     Fecha de
     Liberacion:      25 de Enero de 2003
     Ultima Revision: ---
                      CERT/CC y diversos
     Fuente:          reportes de Equipos de
                      Respuesta a
                      Incidentes, asi como distintos foros de discusion.


     SISTEMAS AFECTADOS
     ------------------

        * Sistemas con Microsoft SQL Server 2000


     DESCRIPCION
     -----------

     El gusano mencionado anteriormente busca por equipos de computo
     conteniendo el servidor SQL para poderse propagar y asi extender su
     codigo malicioso a traves de la red, basandose para ello de dos
     principales vulnerabilidades contenidas en el Servicio de Resolucion
     de la aplicacion Microsoft   SQL   Server   2000. La vulnerabilidad
     documentada y etiquetada como VU#370308 permite mantener el demonio
     de la aplicacion listo, este demonio es empleado por el Servicio de
     Resolucion del Servidor SQL para lanzar un ataque de negacion de
     servicio a otros equipos. Cualquiera de las dos vulnerabilidades
     VU#399260 o VU#484891 permiten la ejecucion de codigo arbitrario
     dentro de los servidores que contienen la aplicacion SQL y pueden
     ocasionar un problema del tipo de desboramiento de pila(buffer
     overflow) en el equipo.

     Para una mayor referencia a dichas vulnerabilidades, consultar:

       VU#370308 - http://www.kb.cert.org/vuls/id/370308
       VU#399260 - http://www.kb.cert.org/vuls/id/399260
       VU#484891 - http://www.kb.cert.org/vuls/id/484891
 
     Diversos reportes en los mas de 112 Equipos de Respuesta a
     Incidentes, indican que el alto volumen de trafico es dirigido al 
     puerto 1434/udp generado por equipos comprometidos e infectados por
     dicho gusano y buscan periodicamente equipos en todo el internet con
     servidores SQL que le permitan infectar y aplicar sus
     efectos(incluyendo condiciones propias de un ataque de negacion de
     servicio) en redes con equipos comprometidos.

     La actividad de este gusano es facil de identificar dentro de un
     entorno de red, en la cual se podra detectar atraves de la
     presencia de pequen~os paquetes UDP(al momento se han recibido
     reportes de paquetes de taman~o de 376-410 bytes), dichos paquetes
     son dirigidos de forma aleatoria atraves del internet  al puerto
     1434/udp.


     IMPACTO
     -------
     
     Cuando un equipo es comprometido, esto puede implicar  que el intruso
     externo puede ejecutar de forma remota codigo arbitrario como si
     estuviera en el sistema de forma local. Esto puede llevar al intruso
     de forma subsecuente a obtener niveles de escalacion de privilegios
     de forma local hasta obtener acceso de administrador en la maquina
     afectada.

     El alto volumen de trafico 1434/udp generado entre los equipos
     infectados con el gusano puede conducir a la degradacion en el
     rendimiento y desempen~o  de la red de ambos equipos(equipo infectado
     y equipos en busqueda de gusanos), mas no asi en equipos no
     vulnerables.


     SOLUCION
     --------

     * Aplicar un parche 

     Se recomienda ampliamente que a la brevedad todos los administradores
     de sistemas que utilicen y tengan en produccion Microsoft SQL Server
     2000 revisen el boletin del UNAM-CERT 2002-022 y la vulnerabilidad
     VU#370308 para que apliquen las medidas recomendadas por  los
     fabricantes para la instalacion optima de los siguientes parches:


	http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp 

       Boletin UNAM-CERT-2002-022
	http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-022.html
	http://www.cert.org/advisories/CA-2002-22.html
       
       VU#370308 - http://www.kb.cert.org/vuls/id/370308


     * Reglas de Filtrado de Entrada/Salida.

     Los siguientes pasos son solo validos para limitar el dan~o en
     aquellos equipos que se encuentren afectados por dicho gusano. Estos
     pasos no proveen proteccion contra aquellos equipos que inicien la
     infeccion de sistemas. Como resultado de lo anterior, dichos pasos
     son solo recomendaciones y deberan ser llevados a cabo como medida
     adicional a lo ya descrito anteriormente(parches descritos arriba).

     Manejar reglas de filtrado de entrada nos permitira manejar el flujo
     de trafico que entra a nuestra red y que operara bajo nuestra
     administracion y control. Los servidores son generalmente equipos que
     aceptan  trafico entrante del internet. Dentro de las politicas de
     uso en la mayoria de los sitios, solo es permitido el trafico externo
     a equipos de la red interna que provean servicios de dominio publico
     y que vaya dirigido a ciertos puertos(p.ej. el correo electronico,
     pto. 25). Asi de esta forma el filtrado de entrada debera ser la
     primera linea limitrofe para prohibir trafico externo dirigido a los
     servicios no autorizados de su red interna, especificamente a los
     servicios descritos en este boletin.

     Las reglas de salida controlan todo aquel flujo de trafico que
     abandona la red que se encuentra bajo nuestra administracion y
     control. Existen comunmente una gran variedad de servicios y
     aplicaciones publicas a los cuales dicho trafico ira dirigido y que
     saldra al trafico de internet.

     En el caso del gusano, con el uso apropiado de reglas de filtrado de 
     entrada/salida nos ayudara a mitigar el grado de exposicion de 
     nuestra red interna, asi como trafico inecesario proveniente del
     exterior. Atraves del bloqueo de puertos UDP tanto en los puertos de
     entrada y de salida dirigidos al UDP/1434, nos ayudara en gran medida
     a reducir  el riesgo de infeccion e intentos de conexion del exterior
     con equipos de la red interna.

 
     * Recuperar el sistema en un sistema comprometido

     Si usted sospecha que su sistema ha sido comprometido le
     recomendamos leer los pasos descritos en los manuales que mantiene 
     el UNAM-CERT y que actualmente se encuentran en la siguientes
     direcciones:

	* Deteccion de Intrusos en UNIX
		http://www.unam-cert.unam.mx/deteccion_intrusos.html

        * Deteccion de Intrusos en Windows
		http://www.unam-cert.unam.mx/intrusos-windows.html


     APENDICE A. Informacion Adicional
     ----------------------------------------

     Este apendice contiene informacion que puede ser util
     para aquellos administradores de sistemas que administren
     redes corporativas y les pueda servir a detectar con mayor
     rapidez en sus redes dichos servidores comprometidos.

     * Existe un Escaner desarrollado por la empresa eeye y que esta
     disponible del siguiente URL.

		http://www.eeye.com/html/Research/Tools/SapphireSQL.html

     * Para mayor informacion del gusano SQL Sapphire

		http://www.eeye.com/html/Research/Flash/AL20030125.html


     INFORMACION
     -----------

     Este documento se encuentra disponible en su formato original en
     la siguiente direccion:

          http://www.cert.org/advisories/CA-2003-04.html

     Para  mayor  informacion  acerca  de  este  boletin  de  seguridad
     contactar a:


                                 UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Computo
                                DGSCA - UNAM
                    E-Mail : seguridad en seguridad unam mx
                        http://www.unam-cert.unam.mx
                        http://www.seguridad.unam.mx
                        ftp://ftp.seguridad.unam.mx
                             Tel : 56 22 81 69
                             Fax : 56 22 80 43





-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
Charset: cp850

iQEVAwUBPjOhXXAvLUtwgRsVAQHTwwgApKDgC4YLXttAsC52l1i5tGklM9xe7tlJ
e59Q8ywZE/frzRkD3kUcPYrJjyEXHYUyhO+H24yC1PpnhGR+lBUtqyvvkuY7Chlh
pcPkaFDzPnqCEiZY7+DaBFBhNioUuL4jvwEByj2w4sujTy3Ied9JoQ7AXpMzaZFh
frVeZk7/v9ZtaJh1wv+D0Z6P6Y2p4guhCv8SMxjlMmFkKTIWtyUAMGm9zyRnec6h
uWqEnHEKYFaL7il3pxqhZt+YzSEmo1NOmcBTokr7di6qiq/UovX4hw++YpEYPEya
7YtdUomi8I2M8tJW0tSINkgK+WJucRxA34LbNXJczPmAElYkkpINtA==
=L9Z8
-----END PGP SIGNATURE-----



Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/
Previo por Fecha: [Linux] aumentar /var
Siguiente por Fecha: [Linux] [linux] acerca de DNS
Previo por Hilo: Re: [Linux] aumentar /var
Siguiente por Hilo: [Linux] [linux] acerca de DNS
[Hilos de Discusión] [Fecha] [Tema] [Autor]