Win32.SQLSlammer (Peligrosidad: 3 - Media) Este gusano afecta a servidores que ejecuten Microsoft SQL Server o Microsoft SQL Desktop Engine (MSDE), una versión reducida de SQL Server para PCs de escritorio.
Utiliza en su propagación paquetes de 376 bytes enviados al puerto 1434 UDP (SQL Server Resolution Service).
Permite a los sitemas afectados, enviar el paquete dañino a otras máquinas con SQL Server causando la ralentización, o incluso la caida, de la red afectada.
Este código malicioso que ejecuta el ataque de denegación de servicio, solamente es residente en memoria no teniendo ningún fichero asociado. Debido a esto, aquellos antivirus que no realicen escaneo de memoria, no podrán detectar este gusano.
SOLUCIONEs conveniente bloquear el puerto 1434 UDP donde no haga falta, de esta forma se evita la propagación de la infección.
Si se tiene un sistema con SQL Server o MSDE afectado por la vulnerabilidad debe parchearlo urgentemente.
ORIGEN DEL PROBLEMAMicrosoft SQL Server 2000 y Microsoft Desktop Engine 2000 permiten hospedar múltiples instancias del servidor SQL en el mismo ordenador, cada uno de los cuales funcionaría, a todos los efectos, como servidores independientes.
Como todas estas instancias no pueden atender al mismo tiempo las peticiones por el puerto estándar de MS-SQL, TCP/1433, se asigna a cada uno de los servidores SQL virtuales un puerto TCP diferente. Para que los clientes puedan consultar cuál es el puerto TCP asignado a un servidor SQL virtual en particular, existe un servicio de resolución que escucha en el puerto UDP 1434.
Hay tres vulnerabilidades de seguridad aquí. Las dos primeras son desbordamientos de búfer, una de la pila y otra del montón. Enviando un paquete cuidadosamente elaborado al Servicio de Resolución, un atacante podría conseguir que porciones de la pila o del montón sean sobrescritas.
La tercera es una vulnerabilidad de denegación de servicio basado en el mecanismo de keep-alive (mantener viva la conexión); enviando un paquete especialmente elaborado al Servicio de Resolución y suplantando la IP de origen con la de otro sistema con SQL server, puede hacer que los sistemas entren en bucle infinito Más información sobre la vulnerabilidad, se puede encontrar en:
Nuestra base de datos de vulnerabilidades, con la referencia CVE CAN-2002-0649 (Nótese que la descripción data de Agosto de 2002)
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp. La descarga del parche que solventa el problema se puede realizar desde:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602 METODO DE INFECCIONSQLSlammer se propaga mediante paquetes UDP, que infectan a un sistema vulnerable en cuanto llegan a él. El cuerpo del gusano empieza con el byte 04 (tipo de petición), seguido con una serie larga de bytes 01, que cuando llega a SQL Monitor genera un nombre de registro largo (HKLM\Software\Microsoft\Microsoft SQL Server\.....\MSSQLServer\CurrentVersion) desbordando el búfer. Esto sobreescribe la dirección de retorno de la pila y el código del gusano recibe el control con los privilegios de SQL Monitor. La vulnerabilidad se encuentra en el fichero SSNETLIB.DLL.
Una vez que el gusano consigue el control carga WS2_32.DLL y empieza a mandarse contínuamente a sí mismo al puerto 1434/udp de rangos de direcciones IP en un bucle infinito. Utiliza la función de la API de Windows (GetTickCount) para generar direcciones IP a las que enviarse. Éstas son completamente aleatorias (sin ningún sesgo hacia la subred local), con lo que la mayoría van hacia Internet, pudiendo elevar mucho el consumo de ancho de banda. Debido a este proceso continuo y los múltiples envíos se puede llegar a generar una Denegación de Servicio (DoS) sobre dicho puerto.
Los síntomas visibles de Win32.SQLSlammer son el aumento de tráfico por el puerto 1434 UDP (SQL Server Resolution Service) y la ralentización e incluso el bloqueo del servidor en cuestión.
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=2187 
Autor
En línea
