RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CERT Advisory CA-2003-04

MS-SQL Worm (Slammer)

[CERT/CC, 25.01.2003, revisão 01]


Neste final de semana, a Internet foi vítima de um novo worm, denominado Sapphire, W32.Slammer, Slammer, New SQL Worm ou Worm.SQL.Helkern. Tal worm tem como alvo sistemas Microsoft Windows, explorando vulnerabilidades no Resolution Service do Microsoft SQL Server 2000.

A infecção pelo worm permite a um atacante a execução de código
arbitrário, o que pode resultar no comprometimento do sistema.
No entanto, o maior impacto é causado pelo alto tráfego gerado pelas máquinas infectadas. A propagação ocorre através da porta 1434/udp.

O CAIS está repassando o alerta divulgado pelo CERT/CC, CERT Advisory CA-2003-04 MS-SQL Server Worm, tratando do referido worm.

Recomenda-se também, a leitura do alerta divulgado pela Microsoft,
disponível em:

http://www.microsoft.com/technet/security/virus/alerts/slammer.asp

Sistemas afetados:

. Microsoft SQL Server 2000

Correções disponíveis:

De acordo com o fabricante, é recomendado aplicar o mais recente patch acumulativo para o Microsoft SQL Server 2000, como consta em:

http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

Maiores informações:

http://www.cert.org/advisories/CA-2003-04.html
http://www.kb.cert.org/vuls/id/370308
http://www.kb.cert.org/vuls/id/399260
http://www.kb.cert.org/vuls/id/484891
http://www.cert.org/advisories/CA-2002-22.html
http://www.microsoft.com/technet/treeview/default.asp
http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
http://www.microsoft.com/technet/security/virus/alerts/slammer.asp
http://www.snort.org/snort-db/sid.html?sid=2003

Identificador do CVE:

CAN-2002-0650, CAN-2002-0649 (http://cve.mitre.org)

A seguir, a regra do Snort para detecção do Worm Slammer:
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"MS-SQL Worm propagation attempt"; content:"|04|"; depth:1; content:"|81 F1 03 01 04 9B 81 F1 01|"; content:"sock"; content:"send"; reference:bugtraq,5310; classtype:misc-attack; reference:bugtraq,5311; reference:url,vil.nai.com/vil/content/v_99992.htm; sid:2003; rev:2;)

O CAIS recomenda aos administradores que mantenham seus sistemas atualizados.


Referências:

Cert Advisory CA-2003-04

CA200304.txt download do arquivo

formato: text/plain




Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303