MS-SQL Worm

Escrito el 27 enero, 2003 – 0:00 | por storm | 650 lecturas

Un nuevo bebe dio a luz .. el Saphire, (tambien conocido como MS-SQL Slammer o W32.SQLExp.Worm) es un nuevo worm
que se aprovecha de una vulnerabilidad en el MS-SQL para infectar los servers automaticamente y ya viene haciendo
estragos en internet.

El gusano envia un paquete UDP de 376 bytes al puerto 1434 (es el port que utiliza el MSSQL para resolver cual
es el puerto TCP asignando a un servidor SQL virtual, ya que MSSQL permite correr varios “servidores virtuales” en
un mismo equipo, asignando un port diferente a cada servidor virtual).

El SP3 de MSQL es el que soluciona esta vulnerabilidad, todos aquellos servers que no hayan sido patcheados,
son vulnerables a Shaphire.

El gusano infecta servidores MS-SQL, y comienza a generar direcciones IP al azar a las que envia su código
al puerto UDP 1434. El gusano envía paquetes multicast, por lo tanto cada envío puede llegar hasta 255 máquinas
de una subred, logrando una velocidad inaudita hasta la fecha en este tipo de gusanos.

El ancho de banda que consume es tal que puede provocar denegaciones de servicios y un enlentecimiento generalizado
en las comunicaciones debido al tráfico del gusano.

Mas información:

Complete Analysis of Sapphire SQL Worm:

http://www.techie.hopto.org/sqlworm.html

CERT Advisory CA-2003-04 MS-SQL Server Worm

http://www.cert.org/advisories/CA-2003-04.html

Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution:

http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

HispaSec:

http://www.hispasec.com/unaaldia.asp?id=1554

You must be logged in to post a comment.

Buscar: