Delincuente de SQL

Gusano informático de 2003

SQL Slammer ^[a] es un gusano informático de 2003 que provocó una denegación de servicio en algunos hosts de Internet y ralentizó drásticamente el tráfico general de Internet . También bloqueó enrutadores en todo el mundo, lo que provocó incluso más ralentizaciones. Se propagó rápidamente e infectó a la mayoría de sus 75.000 víctimas en 10 minutos.

El programa aprovechó un error de desbordamiento de búfer en los productos de base de datos SQL Server y Desktop Engine de Microsoft . Aunque el parche MS02-039 (CVE-2002-0649) ^[2] se había publicado seis meses antes, muchas organizaciones aún no lo habían aplicado.

Las regiones más infectadas fueron Europa, América del Norte y Asia (incluidos Asia Oriental y la India). ^[3]

Detalles técnicos

El gusano se basaba en un código de prueba de concepto presentado en los Black Hat Briefings por David Litchfield , quien había descubierto inicialmente la vulnerabilidad de desbordamiento de búfer que el gusano explotaba. ^[4] Es un pequeño fragmento de código que no hace mucho más que generar direcciones IP aleatorias y enviarse a sí mismo a esas direcciones. Si una dirección seleccionada pertenece a un host que está ejecutando una copia sin parchear de Microsoft SQL Server Resolution Service que escucha en el puerto UDP 1434, el host se infecta inmediatamente y comienza a rociar Internet con más copias del programa gusano.

Los equipos domésticos no suelen ser vulnerables a este gusano, a menos que tengan instalado MSDE. El gusano es tan pequeño que no contiene código para escribirse en el disco, por lo que solo permanece en la memoria y es fácil de eliminar. Por ejemplo, Symantec ofrece una utilidad de eliminación gratuita, o incluso se puede eliminar reiniciando SQL Server (aunque es probable que la máquina se vuelva a infectar inmediatamente).

El gusano fue posible gracias a una vulnerabilidad de seguridad del software en SQL Server, reportada por primera vez por Microsoft el 24 de julio de 2002. Un parche había estado disponible en Microsoft durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no habían sido parcheadas, incluidas muchas en Microsoft. ^[5]

El gusano comenzó a detectarse a principios del 25 de enero de 2003 ^[b], ya que ralentizaba los sistemas de todo el mundo. La ralentización se debió al colapso de numerosos enrutadores bajo la carga de un tráfico de bombardeo extremadamente alto de los servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que lo puedan manejar los enrutadores, se supone que estos retrasan o detienen temporalmente el tráfico de la red. En cambio, algunos enrutadores dejaron de funcionar (se volvieron inutilizables) y los enrutadores "vecinos" notaron que estos enrutadores se habían detenido y no debían ser contactados (es decir, "eliminados de la tabla de enrutamiento "). Los enrutadores comenzaron a enviar avisos a este efecto a otros enrutadores que conocían. La avalancha de avisos de actualización de la tabla de enrutamiento provocó que algunos enrutadores adicionales fallaran, lo que agravó el problema. Finalmente, los mantenedores de los enrutadores dañados los reiniciaron, lo que hizo que anunciaran su estado, lo que llevó a otra ola de actualizaciones de la tabla de enrutamiento. Pronto, una parte significativa del ancho de banda de Internet fue consumida por los enrutadores que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o, en algunos casos, se detuvo por completo. Debido a que el gusano SQL Slammer era tan pequeño, a veces lograba atravesar el sistema cuando el tráfico legítimo no lo lograba.

Dos aspectos clave contribuyeron a la rápida propagación de SQL Slammer. El gusano infectó nuevos hosts a través del protocolo UDP sin sesión y el gusano entero (sólo 376 bytes) cabe en un único paquete. ^{[10] [11]} Como resultado, cada host infectado podía simplemente "lanzar y olvidar" paquetes lo más rápido posible.

Notas

1. Otros nombres incluyen W32.SQLExp.Worm, DDOS.SQLP1434.A, el gusano Sapphire, SQL_HEL, W32/SQLSlammer y Helkern. ^[1]
2. La divulgación pública comenzó cuando Michael Bacarella publicó un mensaje en la lista de correo de seguridad Bugtraq titulado "¡EL GUSANO MS SQL ESTÁ DESTRUYENDO EL PUERTO DE BLOQUEO DE INTERNET 1434!" ^[6] a las 07:11:41 UTC del 25 de enero de 2003. Informes similares fueron publicados por Robert Boyle a las 08:35 UTC ^[7] y Ben Koshy a las 10:28 UTC ^[8]. Un análisis temprano publicado por Symantec tiene una marca de tiempo de 07:45 GMT. ^[9]

Referencias

1. "Symantec W32.SQLExp.Worm". Archivado desde el original el 10 de noviembre de 2006.
2. "CVE - CVE-2002-0649". cve.mitre.org . Consultado el 7 de septiembre de 2023 .
3. Mezquita, Ty (12 de febrero de 2020). "Virus SQL Slammer (presagio de lo que vendrá)". CyberHoot .
4. Leyden, John (6 de febrero de 2003). "Slammer: Por qué la seguridad se beneficia del código de prueba de concepto". Register . Consultado el 29 de noviembre de 2008 .
5. "Microsoft también fue atacado por un gusano". Wired .
6. Bacarella, Michael (25 de enero de 2003). "¡EL GUSANO MS SQL ESTÁ DESTRUYENDO EL PUERTO DE BLOQUEO DE INTERNET 1434!". Bugtraq . Consultado el 29 de noviembre de 2012 .
7. Boyle, Robert (25 de enero de 2003). «Tranquilidad de espíritu a través de la integridad y la comprensión». Archivos de Neohapsis. Archivado desde el original el 19 de febrero de 2009. Consultado el 29 de noviembre de 2008 .
8. Koshy, Ben (25 de enero de 2003). "Paz mental a través de la integridad y la comprensión". Archivos de Neohapsis. Archivado desde el original el 19 de febrero de 2009. Consultado el 29 de noviembre de 2008 .
9. "SQLExp SQL Server Worm Analysis" (PDF) . Análisis de amenazas del sistema de gestión de amenazas DeepSight™. 28 de enero de 2003. Archivado desde el original (PDF) el 7 de marzo de 2003.
10. Moore, David; et al. "La propagación del gusano Sapphire/Slammer". CAIDA (Asociación cooperativa para el análisis de datos de Internet) .
11. Serazzi, Giuseppe; Zanero, Stefano (2004). "Computer Virus Propagation Models" (PDF) . En Calzarossa, Maria Carla; Gelenbe, Erol (eds.). Performance Tools and Applications to Networked Systems . Apuntes de clase en informática. Vol. 2965. págs. 26–50.

Enlaces externos

Noticias

• BBC NEWS Tecnología Un ataque similar a un virus afecta el tráfico web
• El gusano de MS SQL Server está causando estragos
• Wired 11.07: ¡Slammer! Una explicación para el profano sobre el código Slammer.

Anuncio

• Boletín de seguridad de Microsoft MS02-039 y parche
• «CERT Advisory CA-2003-04: MS-SQL Server Worm». Instituto de Ingeniería de Software de la Universidad Carnegie Mellon . Archivado desde el original el 1 de febrero de 2003. Consultado el 22 de septiembre de 2019 .{{cite web}}: CS1 maint: URL no apta ( enlace )
• Respuesta de seguridad de Symantec: W32.SQLExp.Worm

Análisis

• Dentro del gusano Slammer Revista IEEE Security and Privacy, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford y Nicholas Weaver

Detalles técnicos

• Código de gusano desmontado en Wayback Machine (archivado el 22 de julio de 2011)
• Múltiples vulnerabilidades en Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute