SQL Slammer [a] es un gusano informático de 2003 que provocó la denegación de servicio en algunos hosts de Internet y ralentizó drásticamente el tráfico general de Internet . Se propagó rápidamente, infectando a la mayoría de sus 75.000 víctimas en diez minutos.
El programa aprovechó un error de desbordamiento de búfer en los productos de base de datos SQL Server y Desktop Engine de Microsoft . Aunque el parche MS02-039 se había lanzado seis meses antes, muchas organizaciones aún no lo habían aplicado.
Detalles técnicos
El gusano se basó en un código de prueba de concepto demostrado en los Black Hat Briefings por David Litchfield , quien inicialmente había descubierto la vulnerabilidad de desbordamiento de búfer que explotaba el gusano. [2] Es un pequeño fragmento de código que hace poco más que generar direcciones IP aleatorias y enviarse a sí mismo a esas direcciones. Si una dirección seleccionada pertenece a un host que está ejecutando una copia sin parchear del servicio de resolución de Microsoft SQL Server que escucha en el puerto UDP 1434, el host se infecta inmediatamente y comienza a rociar Internet con más copias del programa gusano.
Las PC domésticas generalmente no son vulnerables a este gusano a menos que tengan MSDE instalado. El gusano es tan pequeño que no contiene código para escribirse en el disco, por lo que solo permanece en la memoria y es fácil de quitar. Por ejemplo, Symantec proporciona una utilidad de eliminación gratuita, o incluso se puede eliminar reiniciando SQL Server (aunque es probable que la máquina se vuelva a infectar de inmediato).
El gusano fue posible gracias a una vulnerabilidad de seguridad del software en SQL Server, informada por primera vez por Microsoft el 24 de julio de 2002. Un parche había estado disponible de Microsoft durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no se habían parcheado, incluidas muchas en Microsoft. . [3]
El gusano comenzó a notarse temprano el 25 de enero de 2003 [b] ya que ralentizaba los sistemas en todo el mundo. La ralentización se debió al colapso de numerosos enrutadores bajo la carga de un tráfico de bombardeo extremadamente alto de los servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que lo manejen los enrutadores, se supone que los enrutadores retrasan o detienen temporalmente el tráfico de la red. En cambio, algunos enrutadores fallaron (se volvieron inutilizables) y los enrutadores "vecinos" notarían que estos enrutadores se habían detenido y no deberían ser contactados (también conocidos como "eliminados de la tabla de enrutamiento "). Los enrutadores comenzaron a enviar avisos a este efecto a otros enrutadores que conocían. La avalancha de avisos de actualización de la tabla de enrutamiento provocó que algunos enrutadores adicionales fallaran, lo que agravó el problema. Finalmente, los encargados de mantenimiento de los enrutadores averiados los reiniciaron, lo que provocó que anunciaran su estado, lo que provocó otra ola de actualizaciones de la tabla de enrutamiento. Pronto, una parte significativa del ancho de banda de Internet fue consumida por los enrutadores que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o, en algunos casos, se detuvo por completo. Debido a que el gusano SQL Slammer era de tamaño tan pequeño, a veces podía pasar cuando el tráfico legítimo no lo era.
Dos aspectos clave contribuyeron a la rápida propagación de SQL Slammer. El gusano infectó nuevos hosts a través del protocolo UDP sin sesión , y todo el gusano (solo 376 bytes) cabe dentro de un solo paquete. [8] [9] Como resultado, cada host infectado podría simplemente "disparar y olvidar" paquetes lo más rápido posible.
Notas
- ^ Otros nombres incluyen W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32 / SQLSlammer y Helkern. [1]
- ^ La divulgación pública comenzó cuando Michael Bacarella publicó un mensaje en la lista de correo de seguridad de Bugtraq titulado "¡MS SQL WORM ESTÁ DESTRUYENDO EL PUERTO DE BLOQUE DE INTERNET 1434!" [4] a las 07:11:41 UTC del 25 de enero de 2003. Robert Boyle publicó informes similares a las 08:35 UTC [5] y Ben Koshy a las 10:28 UTC [6] Un análisis inicial publicado por Symantec tiene la marca de tiempo 07 : 45 GMT. [7]
Referencias
- ^ "Symantec W32.SQLExp.Worm" .
- ^ Leyden, John (6 de febrero de 2003). "Slammer: Por qué la seguridad se beneficia del código de prueba de concepto" . Regístrese . Consultado el 29 de noviembre de 2008 .
- ^ "Microsoft atacado por gusano, también" .
- ^ Bacarella, Michael (25 de enero de 2003). "¡MS SQL WORM ESTÁ DESTRUYENDO EL PUERTO 1434 DEL BLOQUE DE INTERNET!" . Bugtraq . Consultado el 29 de noviembre de 2012 .
- ^ Boyle, Robert (25 de enero de 2003). "Tranquilidad a través de la integridad y la percepción" . Archivos de Neohapsis. Archivado desde el original el 19 de febrero de 2009 . Consultado el 29 de noviembre de 2008 .
- ^ Koshy, Ben (25 de enero de 2003). "Tranquilidad a través de la integridad y la percepción" . Archivos de Neohapsis. Archivado desde el original el 19 de febrero de 2009 . Consultado el 29 de noviembre de 2008 .
- ^ "Análisis de gusanos SQLExp SQL Server" (PDF) . Análisis de amenazas del sistema de gestión de amenazas DeepSight ™. 28 de enero de 2003.
- ^ Moore, David y col. "La propagación del gusano Zafiro / Slammer" . CAIDA (Asociación Cooperativa para el Análisis de Datos de Internet) .Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ Serazzi, Giuseppe; Zanero, Stefano (2004). "Modelos de propagación de virus informáticos" (PDF) . En Calzarroja, Maria Carla; Gelenbe, Erol (eds.). Herramientas de rendimiento y aplicaciones para sistemas en red . Apuntes de conferencias en Ciencias de la Computación. 2965 . págs. 26–50.
enlaces externos
- Noticias
- BBC NEWS Technology Un ataque similar a un virus golpea el tráfico web
- Gusano de MS SQL Server causando estragos
- Wired 11.07: ¡Slammed! Explicación de un laico del código Slammer.
- Anuncio
- Boletín de seguridad de Microsoft MS02-039 y parche
- "Asesor CERT CA-2003-04: Gusano MS-SQL Server" . Instituto de Ingeniería de Software de la Universidad Carnegie Mellon . Archivado desde el original el 1 de febrero de 2003 . Consultado el 22 de septiembre de 2019 .CS1 maint: URL no apta ( enlace )
- Respuesta de seguridad de Symantec: W32.SQLExp.Worm
- Análisis
- Dentro de la revista Slammer Worm IEEE Security and Privacy Magazine, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford y Nicholas Weaver
- Detalles técnicos
- Código de gusano desmontado en Wayback Machine (archivado el 22 de julio de 2011)
- Varias vulnerabilidades en Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute