|
|
Červ využívá již delší dobu známé bezpečnostní díry v Microsoft SQL Serveru 2000, s největší pravděpodobností dvě různé. Slabinu popsanou v MS Security Bulletinu MS02-039 využívá k Denial of Service útoku na cizí servery a exploitovatelný buffer overflow MS02-039 k instalaci svého kódu na další počítač.
Přitom probíhá přenos velkého množství dat na UDP portu 1434, což má za následek zmíněné zpomalení. Přenos mnoha krátkých UDP paketů (podle ohlasů 376-410 bytů) z mnoha různých adres po celém internetu je tak víceméně jedoznačný identifikátor viru.
Díky chybě tak červ dokáže svůj kód spustit pod uživatelem SYSTEM na dané stanici. Otázka zneužití k jakýmkoliv jiným hackerským účelům je pochopitelně na místě, včetně možnosti získání kompletního Administrátorského přístupu.
Úspěch, jaký tento virus slaví, je až k nevíře, neboť zmíněné vurnerability byly oznámeny již v červenci minulého roku, patche jsou k dispozici a byly součástmi několika opravných balíčků. Jen na okraj podotýkám, že informace se dostala i do hlavních zpravodajských relací některých televizních relací, což se opravdu nepovede jen tak "někomu".
Administrátoři, na jejichž stroji běží MS SQL Server 2000 a dosud záplaty neaplikovali, by tak měli ihned učinit. Příslušné odkazy jsou k dispozici na stránce příslušného Security Bulletinu:
Riziko nákazy vaší sítě lze pochopitelně snížit také různými filtry apod., např. blokováním všech UDP datagramů, které mají zdrojový i cílový port 1434.
Vedle SQL serverů červ napadá i MSDE (Microsoft SQL 2000 Desktop Engine), jakousi odlehčenou verzi SQL Serveru. Ta je nasazena například v MS Office, Visual .NET Studiu či Microsoft AppCenter. Cílem se tak mohou stát i klientské stanice.
Server Pooh.cz informuje o důsledcích na čeckém internetu: "Probralo se czechia.com - byť to probrání asi není úplné. Co se ale stálo vůbec neprobralo, je reklamní systém Adrenaline (www.adrenaline.cz), díky jehož nefunkčnost jsou do věčných lovišť odeslány další weby - iHNed kvůli tomu musel kompletně vypnout reklamu, Živě je díky tomu nefunkční. (update: v zhruba 19:00 se adrenaline.cz konečně rozjelo)
Již zmíněná firma eEye uvolnila scanner, který dokáže zjistit, zda je konkrétní instalace napadnutelná.
Viditelný nárůst a pokles je jasně vidět na statistikách CESNETU.
|
Odborníci přirovnávají útok tohoto viru k těm nejznámějším nákazám z let minulých. "Je opět to jako Code Red", říká Marc Maiffret, odborník ze společnosti eEye Digital Security, kde virus zaznamenali jako jedni z prvních. "Množství útoků zabírá tolik provozu, že se normální požadavky vůbec nechytají.", dodává. Situace mimoto ukázala, jak tragická je skutečná situace kolem aplikování patchů a to i těch, které byly označeny jako "critical" a jsou na světě již půl roku. Jak se zdá, slovní spojení "remotely exploitable buffer overflow" nechává chladnými více lidí, než je zdrávo. Pokud jsme Microsoftu v červenci vyčetli vzdáleně zneužitelné přetečení bufferu musíme nyní konstatovat, že na často nechvalné bezpečnostní pověsti produktů má velký podíl právě chování uživatelů-administrátorů.
Varování CERTu najdete zde.
Doplněno
Microsft na vzniklou situaci reaguje: k dispozici je stránka věnující se tomuto červu a novou verzi MS02-61.
Analýzu červa najdete na hopto.org
Nakonec zde máme zprávu od společnosti Checkpoint. Nabízí možnost zastavit vlastního červa a přitom
zachovat průchozí MS SQL provoz. Toto řešení je dostupné zákazníkům využívajícím FireWall-1 NG ve verzi FP2
nebo vyšší.
|
