Logo de DiarioRed
Quiénes somos Mapa del sitio Contactar
El Diario Independiente de Internet - Año VII
Portada
Boletín - suscripción
Suscríbete a nuestros boletines y recibe toda la actualidad:  
  Email:  
html texto  
 

 

    
 
 
Noticias y análisis
Cibersociedad
Internet
Informática
Tecnología
eBusiness
Notas de Prensa
El Eco Digital
La Tierra Prometida
Marketing 2.0
Persuasión.Net
Open for Business
Secciones
Titulares
Software libre
Guía de Webs
Ciberley
El Defensor
Juegos
Hardware
Shareware
Diariored
Quiénes somos
Contactar
Colabora
Supcripciones
Patrocinios
 
NOTICIA
Un nuevo gusano para SQL Server anda suelto en Internet
Ignacio M. Sbampato 22/05/2002 05:22:41
enviar a un amigo   menor tipo de texto tipo de texto standard mayor tipo de texto
En los últimos días se detectó gran actividad de un gusano que se reproduce a través de equipos que tengan Microsoft SQL Server instalado, y con muy flojas medidas de seguridad.

Para aquellos que no lo saben, Microsoft SQL Server es un servidor de base de datos relacionales que permite guardar información de forma estructurada y brinda rápido acceso a la misma. Este producto es utilizado por muchos sitios de internet, además de aplicaciones empresariales, para que sus programas almacenen los datos que procesan. 

En Noviembre del año pasado se había descubierto un gusano, de nombre W32/Cblade, que aprovechaba  SQL Server para reproducirse, el cual alcanzó cierta notoriedad al detectarse gran actividad en sus primeros días de vida, pero, por suerte para los administradores de este tipo de servidores, no pasó a mayores.

En los últimos días, el ISC (Internet Storm Center o Centro de Tormenta de Internet), detectó un incremento en los escaneos al puerto 1433, el cual es justamente utilizado por el Microsoft SQL Server. Investigando minuciosamente el tema, los expertos detrás de este sitio llevado adelante por el SANS Institute, un instituto dedicado a la seguridad informático, encontraron al culpable de esta extraña actividad: un gusano.

Llamado SQLsnake, JS_SQLSPIDA.B o Digispod.B.Worm, entre varios de los nombres que le han dado las compañías antivirus, este gusano es capaz de reproducirse a través de equipos que tengan SQL Server instalado, y que cuyo usuario administrador, de nombre 'sa', tenga la clave en blanco. Además, para poder propagarse sin problemas, el servicio que el gusano intente infectar, deberá estar ejecutándose con los más altos privilegios administrativos.

Aunque uds. no lo crean, son muchas las instalaciones de SQL Server donde la clave del administrador esté en blanco, dado que esa es la forma en el que el producto se instala por defecto y muchos administradores, para que sea más fácil recordar la clave, la mantienen vacía en los ambientes de desarrollo. E incluso, equipos con algunas versiones de Visio Enterprise Edition y Access 2000 pueden ser vulnerables a este gusano, dado que con ellas se instala una versión reducida, pero completamente funcional, del SQL Server.

El gusano aprovecha una de las funcionalidades de SQL Server, la cual permite la llamada a funciones externas al servidor, que pueden permitir la ejecución de todo tipo de acciones, si se tienen los privilegios indicados. De esta manera, en un equipo donde el servidor se esté ejecutando con privilegios de Administrador, el gusano puede propagarse y completar sus acciones sin problemas.

El gusano en sí está compuesto de varios componentes, que le permiten instalarse en un sistema infectado, tomar información de éste, enviarla a una dirección de correo electrónico y seguir en su búsqueda de equipos a infectar.

Toda la información que el gusano recolecta es enviada a una cuenta en un proveedor de origen asiático, e incluye los datos necesarios para que el autor del gusano pueda ingresar manualmente a los equipos infectados y realizar todo tipo de acciones en ellos.

El ISC detectó, el día de ayer,  una cantidad de 3288 equipos realizando escaneos al puerto 1433, a diferencia de los 42 encontrados tan sólo dos días antes, el 19 de Mayo, lo que demuestra claramente como el gusano ya ha cosechado sus primeras miles de víctimas en apenas dos días.

Es recomendable que todos los administradores de servidores con Microsoft SQL Server instalado, coloquen una clave cualquiera a su usuario administrador para evitar la acción de este tipo de gusanos y mejorar la seguridad de su sistema. También, que se bloquee el acceso al puerto tcp/1433 desde el exterior de la red local, y de esta manera, no permitir que el servicio sea accesible por usuarios remotos.

Dado que las plataformas aprovechadas por los gusanos para reproducirse son cada vez más, es importante tomar medidas similares para todos los productos de base de datos relacionales que se utilice a fin de evitar cualquier problema que en el futuro pueda causar un nuevo gusano. Como decimos siempre aquí: mejor prevenir que curar... 

Más información

Symantec Security Responce - Digispod.B.Worm
http://www.symantec.com/avcenter/venc/data/digispid.b.worm.html

Internet Storm Center - Port Reports for TCP/1433 y UDP/1433
http://isc.incidents.org/port_details.html?port=1433&tarax=1

Incidents.org - SQLsnake code analysis
http://www.incidents.org/diary/diary.php?id=157

Antivirus.com - JS_SQLSPIDA.B
http://www.antivirus.com/.../default5.asp?VName=JS_SQLSPIDA.B

Virus Attack! - Nuevo gusano que puede afectar servidores MS-SQL
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=118

Hispasec - Nuevo gusano SQLsnake ataca servidores SQL server
http://www.hispasec.com/unaaldia.asp?id=1304



enviar a un amigo
 

Quiénes somos | Mapa del sitio | Contactar | Colaborar | Suscripciones | Publicidad
  Ferca Network Movabletype Abeit Networks  
  Hosting   Programación   
DiarioRed.com - Publicación Independiente
© Copyright Internacional - 1997 -2003 - Todos los derechos Reservados