El Equipo de Seguridad para la Coordinación de Emergencias en
Redes Telemáticas de la Universidad Politécnica de Cataluña (esCERT-UPC)
recomienda un conjunto de medidas para evitar el ataque del gusano informático
SQL Slammer. Este gusano de rápidos movimientos, que desde el pasado sábado está
ocasionando un ataque distribuido de denegación de servicio en la Red, infecta a
todos los servidores de Microsoft SQL que no estén actualizados y los deja fuera
de servicio.
En su propagación, el gusano utiliza el puerto 1434 UDP (SQL Server Resolution
Service). Los sistemas infectados enviarán paquetes maliciosos a otras máquinas
con SQL Servers causando la ralentización e incluso la caída de la red afectada.
Según ha podido saber esCERT-UPC, este gusano está causando
graves problemas en la Red ya que cada máquina infectada puede llegar a generar
un tráfico de 50 megabytes por segundo.
EsCERT-UPC ya conoce casos de empresas y entidades españolas
que han bloqueado este puerto para evitar una infección masiva.
Para evitar la acción de este gusano se recomienda bloquear
el puerto 1434 UDP y descargar e instalar el parche para Microsoft SQL Server.
http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
El gusano aprovecha estas vulnerabilidades de
desbordamiento de búfer (espacio de memoria reservado para almacenar información
de entrada) existentes en SQL que fueron publicadas y corregidas con su
correspondiente parche por Microsoft en julio de 2002.
Los servidores SQL que no instalarán el parche específico o
el Service Pack 3, se infectarán al recibir el paquete UDP de 376 bytes
(longitud del gusano). Cuando Slammer llega a un sistema realiza las siguientes
acciones:
- Abre un puerto aleatorio del sistema para reenviar el paquete que contiene al
gusano a direcciones aleatorias.
- Utiliza una función API de Windows (GetTickCount) para
generar direcciones IP a las que enviar dicho paquete.
- Estas direcciones generadas, a su vez, son utilizadas como
destino del gusano.
Durante la infección el gusano sólo se mantiene activo en memoria y no se copia
en ningún archivo lo que dificultará la detección de los antivirus.
A pesar de que este gusano no posee ninguna carga
destructiva, su sistema de propagación puede ocasionar un grave daño en la Red,
ya que provoca ataques masivos de denegación de servicios, y puede dejar fuera
de servicio muchos sitios web y colapsar Internet.
Los síntomas visibles de Slammer son el aumento de tráfico
por el puerto 1434 UDP y la ralentización e incluso el bloqueo del servidor
infectado.
Sistemas comprometidos
Este gusano no compromete directamente al usuario final ya que no infecta a PC
ya que sólo infecta a servidores SQL con sistema operativo Windows 2000
(Microsoft SQL Server 2000 y Microsoft SQL Server Desktop Engine (MSDE). Como el
MSDE también se utiliza en Visual Studio .NET y Office XP Developer Edition, el
gusano podría propagarse más allá de los servidores SQL.
Recomendaciones
Desde esCERT-UPC se recomienda:
- Como primera solución la instalación del último parche acumulativo para SQL
que se encuentra en http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
Se puede instalar también el SQL 2000 Service Pack 3 (http://www.microsoft.com/sql/downloads/2000/sp3.asp
) aunque el
departamento técnico de esCERT-UPC aconseja la primera solución al haberse
detectado algunos problemas en la instalación de este Service Pack.
- Reiniciar el equipo para que la actualización sea efectiva.
- En caso de no poder aplicar el parche se aconseja bloquear el tráfico en el
puerto UDP 1434 o bien en el firewall o en su defecto en los servidores SQL que
se encuentran en servicio.
- Reiniciar el equipo para que la actualización sea efectiva.
|