 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | CERT Incident Note IN-2002-04Exploitation of Vulnerabilities in Microsoft SQL Server [CERT, 22.05.2002, revisão 01] O CAIS está repassando o "Cert Incident Note IN-2002-04, Exploitation of Vulnerabilities in Microsoft SQL Server", alerta crítico que trata da exploração de algumas vulnerabilidades presentes no SQL Server da Microsoft e no Microsoft Data Engine. A exploracao é realizada utilizando senha nula, ou senha padrão - consideradas naturalmente senhas fracas- da conta "sa". Esse acesso está sendo realizado de forma automatizada por um worm que foi denonimado de Spida, SQLsnake, ou mesmo Digispid. Em razão da propagação deste novo worm é possivel observar um aumento considerável nos acessos à porta 1433/tcp. Sistemas Afetados: Microsoft SQL Server ou Microsoft SQL Server 2000 instalados com o modo de segurança mixed habilitado. Microsoft Data Engine 1.0 (MSDE 1.0) ou Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) instalados com o modo de segurança mixed habilitado. Tumbleweed's Secure Mail (MMS) versões 4.3, 4.5, e 4.6 Correções Disponíveis: Para corrigir o problema, deve-se aplicar o patch recomendado pelo fabricante. Maiores informações sobre as correções necessárias podem ser obtidas no alerta original da Microsoft ou no alerta do CAIS, disponíveis em: http://www.microsoft.com/technet/security/bulletin/MS02-020.asp http://www.rnp.br/cais/alertas/2002/MS02-20.html Existem alguns mecanismos de proteção adicionais citados no alerta do Cert (em anexo). Na medida do possível, estes mecanismos devem ser considerados para evitar que o worm se alastre. O alerta original pode ser encontrado na seguinte URL: http://www.cert.org/incident_notes/IN-2002-04.html Regras do Snort: A seguinte regra do snort foi desenvolvida para identificar os acessos causados pelo worm. sql.rules:alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg:"MS-SQL xp_cmdshell - program execution"; content: "x|00|p|00|_|00|c|00|m|00|d|00|s|00|h|00|e|00|l|00|l|00|"; nocase; flags: AP; offset: 8; classtype:attempted-user; sid:687; rev:1;) Ferramentas: Foi disponibilizada uma ferramenta para remover o SQLSnake de máquinas que foram contaminadas: `SQLSnake Removal Utility´, que pode ser encontrado na seguinte URL: http://www.nstalker.com/defense/SQLScan.zip A eEye Digital Security divulgou recentemente uma ferramenta para identificar máquinas vulneráveis ao worm SQL, disponível em: http://www.eeye.com/html/Research/Tools/sqlworm.html Recomendações Adicionais: O CAIS recomenda cautela e bom senso aos administradores na utilizacao de qualquer ferramenta, limitando sua utilizacao às redes sob sua direta responsabilidade. Por último, o CAIS recomenda aos administradores que verifiquem seus sistemas com relação a esta vulnerabilidade, procedendo com as devidas atualizações e correções urgentemente. |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
