SQL Slammer [a] es un gusano informático de 2003 que provocó una denegación de servicio en algunos servidores de Internet y ralentizó drásticamente el tráfico general de Internet . También bloqueó enrutadores en todo el mundo, provocando aún más ralentizaciones. Se propagó rápidamente e infectó a la mayoría de sus 75.000 víctimas en 10 minutos.
El programa aprovechó un error de desbordamiento del búfer en los productos de bases de datos SQL Server y Desktop Engine de Microsoft . Aunque el parche MS02-039 (CVE-2002-0649) [2] se había lanzado seis meses antes, muchas organizaciones aún no lo habían aplicado.
Las regiones más infectadas fueron Europa, América del Norte y Asia (incluido el este de Asia y el sur de Asia (India), etc. [3]
El gusano se basó en un código de prueba de concepto demostrado en los Black Hat Briefings por David Litchfield , quien inicialmente había descubierto la vulnerabilidad de desbordamiento del búfer que explotaba el gusano. [4] Es un pequeño fragmento de código que hace poco más que generar direcciones IP aleatorias y enviarse a esas direcciones. Si una dirección seleccionada pertenece a un host que ejecuta una copia sin parches del Servicio de resolución de Microsoft SQL Server escuchando en el puerto UDP 1434, el host se infecta inmediatamente y comienza a difundir Internet con más copias del programa gusano.
Las PC domésticas generalmente no son vulnerables a este gusano a menos que tengan instalado MSDE. El gusano es tan pequeño que no contiene código para escribirse en el disco, por lo que sólo permanece en la memoria y es fácil de eliminar. Por ejemplo, Symantec proporciona una utilidad de eliminación gratuita, o incluso se puede eliminar reiniciando SQL Server (aunque es probable que la máquina se reinfecte inmediatamente).
El gusano fue posible gracias a una vulnerabilidad de seguridad del software en SQL Server, de la que Microsoft informó por primera vez el 24 de julio de 2002. Microsoft había disponible un parche durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no habían sido parcheadas, incluidas muchas en Microsoft. . [5]
El gusano comenzó a ser detectado a principios del 25 de enero de 2003 [b], ya que ralentizó los sistemas en todo el mundo. La ralentización se debió al colapso de numerosos enrutadores bajo la carga de un tráfico de bombardeo extremadamente elevado procedente de servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que lo manejen los enrutadores, se supone que los enrutadores retrasan o detienen temporalmente el tráfico de la red. En cambio, algunos enrutadores fallaron (quedaron inutilizables) y los enrutadores "vecinos" notarían que estos enrutadores se habían detenido y no debían ser contactados (también conocido como "eliminados de la tabla de enrutamiento "). Los enrutadores comenzaron a enviar avisos en este sentido a otros enrutadores que conocían. La avalancha de avisos de actualización de la tabla de enrutamiento provocó que fallaran algunos enrutadores adicionales, lo que agravó el problema. Finalmente, los mantenedores de los enrutadores bloqueados los reiniciaron, lo que provocó que anunciaran su estado, lo que provocó otra ola de actualizaciones de la tabla de enrutamiento. Pronto, una parte importante del ancho de banda de Internet fue consumida por enrutadores que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o, en algunos casos, se detuvo por completo. Debido a que el gusano SQL Slammer era de tamaño tan pequeño, a veces podía pasar cuando el tráfico legítimo no lo hacía.
Dos aspectos clave contribuyeron a la rápida propagación de SQL Slammer. El gusano infectó nuevos hosts a través del protocolo UDP sin sesión y el gusano completo (solo 376 bytes) cabe dentro de un solo paquete. [10] [11] Como resultado, cada host infectado podría simplemente "disparar y olvidar" paquetes lo más rápido posible.
{{cite web}}
: Mantenimiento CS1: URL no apta ( enlace )