Sentor
Startsidan Säkerhet 24/7 Konsulttjänster Om Sentor Kontakt
Sentor MSS AB
Hovslagargatan 5B
111 48 Stockholm

Telefon:  08-545 333 00
Fax:08-545 333 99
E-post: info@sentor.se


In English

Säkerhetsvarning SQL Slammer / W32.SQLExp.Worm

2003-01-27

Tidigt i lördags morse spreds mycket snabbt en ny mask, SQL Slammer, över Internet. Konsekvenserna av masken blev omfattande, Internettrafiken över hela världen drabbades och många webbplatser låg nere under lördagen.

Masken är i sig inte farlig för de servrar som angrips, dvs den förstör inte data, men genom att den sprider sig vidare till andra servrar ger den upphov till en mängd trafik som överbelastar systemen, sk denial-of-service attacker.

SQL Slammer sprids genom att en känd säkerhetsbrist i Microsoft SQL Server 2000 utnyttjas. Säkerhetsbristen har varit känd sedan juli 2002, men många har underlåtit att uppdatera sina system, varför masken snabbt kunde få en enorm spridning.

Följande system är sårbara:

  • Microsoft SQL Server 2000
  • Microsoft SQL Server 2000 Desktop Engine
  • Microsoft SQL Server 2000 SP1
  • Microsoft SQL Server 2000 SP2

Rekommendation
Om era system ej uppdaterats rekommenderar Sentor starkt att följande säkerhetspatch laddas ned från Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

Microsoft har även nyligen släppt ett service pack för SQL (Service Pack 3) vilket inkluderar en fix för problemet.

SQL 2000 Service Pack 3: http://www.microsoft.com/sql/downloads/2000/sp3.asp

Vidare rekommenderar Sentor att inkommande trafik till UDP port 1434 (SQL Monitor Port) blockeras, i t ex brandvägg, för att hindra att masken kan sprida sig till ett nytt system.

För att minska risken för denna typ av attacker rekommenderar Sentor även att följande SQL Server portar ej är tillgängliga från Internet:

  • ms-sql-s 1433/tcp #Microsoft-SQL-Server
  • ms-sql-s 1433/udp #Microsoft-SQL-Server
  • ms-sql-m 1434/tcp #Microsoft-SQL-Monitor
  • ms-sql-m 1434/udp #Microsoft-SQL-Monitor

snort IDS signatur
För de som använder snort IDS har Sentor tagit fram en signatur för att upptäcka denna typ av attacker. Lägg till nedan angiven regel i önskad rules-fil och starta om snort. Ändra eventuellt alert-typen till den metod ni önskar använda.

alert udp any any -> any 1434 (msg:"SQ_Hell worm"; content:"|04|";offset:0;
depth:1; classtype:attempted-admin; sid:1000100; rev:1;)

Observera att denna regel genererar falsklarm om man normalt sett använder MS-SQL Lookup servicen i sin miljö, man bör då skräddarsy en regel som undantar de legitima förfrågningarna.

 

För ytterligare information:
Kenny Jansson, CTO
Tel: +46 (0)18-65 30 00
Email: kenny.jansson@sentor.se

Gå upp
© Sentor 2010