CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
22 de maig de 2002


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

21 de maig de 2002 - Un nou cuc, SQLsnake, que ataca als servidors SQL Server

Durant les últimes hores s'està enregistrant una elevada activitat d'escaneig del port 1433/tcp, habitualment associat a Microsoft SQL Server. L'informe inicial publicat per incidents.org ens mostra que es tracta d'un nou cuc.

El port 1433/tcp és utilitzat a la configuració per defecte de Microsoft SQL Server. Quan s'instal·la aquesta gestor de base de dades es crea un compte per defecte (SA), amb privilegis d'administració i sense contrasenya. Molts administradors de SQL Server cometen l'error de deixar el compte actiu i no li assignen cap contrasenya. Amb la utilització d'aquest compte es poden executar ordres arbitràries de SQL per, per exemple, llegir o escriure a les bases de dades.

Aquest nou cuc descobert, que actua de forma automàtica, aprofita aquests comptes d'administració sense contrasenya. Entre d'altres activitats, envia per correu electrònic una relació de les contrasenyes del sistema a una adreça de correu electrònic (la qual, a primera hores d'aquesta tarda, tornava un missatge d'error per haver sobrepassat la quota màxima permesa).

Tal com recull incidents.org, el cuc en aquests moments té una elevada activitat, tal com es pot comprovar al gràfic disponible a

(La línia vermella indica el número de sistemes que realitzen activitats d'escaneig contra aquest port).

Mesures de protecció bàsiques

  1. Bloquejar, als sistemes de protecció perimètric, l'accés al port 1433/tcp.
  2. Verificar que tots els servidors SQL Server disposen dels diferents pegats publicats i que s'ha establert una contrasenya pel compte d'usuari SA.
  3. Utilitzar, sempre que sigui possible, syskey per una major seguretat a les contrasenyes del sistema operatiu.
  4. Bloquejar l'adreça de correu ixltd@postone.com (l'adreça on s'envien les relacions de contrasenyes).

Cal tenir present que alguns productes, com per exemple Visio Enterprise Edition o Access 2000 (en aquest últim cas, s'instal·la de forma opcional), instal·len una versió de SQL Server. Aquests sistemes són, en conseqüència, vulnerables a l'activitat del cuc. Per tal de reconèixer l'existència de sistemes dins de nostra xarxa amb el SQL Server, podem realitzar un escaneig de ports per tal de verificar quins sistemes tenen el port 1433/tcp obert.

Més informació

SQLsname code analysis
http://www.incidents.org/diary/diary.php?id=157

PRB: Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a Worm (Q313418)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418

Anàlisi per Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?
VName=JS_SQLSPIDA.B&VSect=T

JS/SQLSpida.b.worm (McAfee)
http://vil.mcafee.com/dispVirus.asp?virus_k=99499

JScript/SQLSpida.B (Computer Associates)
http://www3.ca.com/virus/virus.asp?ID=11903

SQLSpida (F-Secure)
http://www.europe.f-secure.com/v-descs/sqlspida.shtml

Digispid.B.Worm (Symantec)
http://securityresponse.symantec.com/avcenter/
venc/data/js.spida.b.html

Xavier Caballé
xcaballe@quands.com
Contacte: info@quands.com