SQL Slammer

2003 gusano informático

SQL Slammer ^[a] es un gusano informático de 2003 que provocó una denegación de servicio en algunos servidores de Internet y ralentizó drásticamente el tráfico general de Internet . También bloqueó enrutadores en todo el mundo, provocando aún más ralentizaciones. Se propagó rápidamente e infectó a la mayoría de sus 75.000 víctimas en 10 minutos.

El programa aprovechó un error de desbordamiento del búfer en los productos de bases de datos SQL Server y Desktop Engine de Microsoft . Aunque el parche MS02-039 (CVE-2002-0649) ^[2] se había lanzado seis meses antes, muchas organizaciones aún no lo habían aplicado.

Las regiones más infectadas fueron Europa, América del Norte y Asia (incluido el este de Asia y el sur de Asia (India), etc. ^[3]

Detalles técnicos

El gusano se basó en un código de prueba de concepto demostrado en los Black Hat Briefings por David Litchfield , quien inicialmente había descubierto la vulnerabilidad de desbordamiento del búfer que explotaba el gusano. ^[4] Es un pequeño fragmento de código que hace poco más que generar direcciones IP aleatorias y enviarse a esas direcciones. Si una dirección seleccionada pertenece a un host que ejecuta una copia sin parches del Servicio de resolución de Microsoft SQL Server escuchando en el puerto UDP 1434, el host se infecta inmediatamente y comienza a difundir Internet con más copias del programa gusano.

Las PC domésticas generalmente no son vulnerables a este gusano a menos que tengan instalado MSDE. El gusano es tan pequeño que no contiene código para escribirse en el disco, por lo que sólo permanece en la memoria y es fácil de eliminar. Por ejemplo, Symantec proporciona una utilidad de eliminación gratuita, o incluso se puede eliminar reiniciando SQL Server (aunque es probable que la máquina se reinfecte inmediatamente).

El gusano fue posible gracias a una vulnerabilidad de seguridad del software en SQL Server, de la que Microsoft informó por primera vez el 24 de julio de 2002. Microsoft había disponible un parche durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no habían sido parcheadas, incluidas muchas en Microsoft. . ^[5]

El gusano comenzó a ser detectado a principios del 25 de enero de 2003 ^[b], ya que ralentizó los sistemas en todo el mundo. La ralentización se debió al colapso de numerosos enrutadores bajo la carga de un tráfico de bombardeo extremadamente elevado procedente de servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que lo manejen los enrutadores, se supone que los enrutadores retrasan o detienen temporalmente el tráfico de la red. En cambio, algunos enrutadores fallaron (quedaron inutilizables) y los enrutadores "vecinos" notarían que estos enrutadores se habían detenido y no debían ser contactados (también conocido como "eliminados de la tabla de enrutamiento "). Los enrutadores comenzaron a enviar avisos en este sentido a otros enrutadores que conocían. La avalancha de avisos de actualización de la tabla de enrutamiento provocó que fallaran algunos enrutadores adicionales, lo que agravó el problema. Finalmente, los mantenedores de los enrutadores bloqueados los reiniciaron, lo que provocó que anunciaran su estado, lo que provocó otra ola de actualizaciones de la tabla de enrutamiento. Pronto, una parte importante del ancho de banda de Internet fue consumida por enrutadores que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o, en algunos casos, se detuvo por completo. Debido a que el gusano SQL Slammer era de tamaño tan pequeño, a veces podía pasar cuando el tráfico legítimo no lo hacía.

Dos aspectos clave contribuyeron a la rápida propagación de SQL Slammer. El gusano infectó nuevos hosts a través del protocolo UDP sin sesión y el gusano completo (solo 376 bytes) cabe dentro de un solo paquete. ^{[10] [11]} Como resultado, cada host infectado podría simplemente "disparar y olvidar" paquetes lo más rápido posible.

Notas

1. Otros nombres incluyen W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32/SQLSlammer y Helkern. ^[1]
2. La divulgación pública comenzó cuando Michael Bacarella publicó un mensaje en la lista de correo de seguridad de Bugtraq titulado "¡EL GUSANO MS SQL ESTÁ DESTRUYENDO EL PUERTO 1434 DEL BLOQUE DE INTERNET!" ^[6] a las 07:11:41 UTC del 25 de enero de 2003. Robert Boyle publicó informes similares a las 08:35 UTC ^[7] y Ben Koshy a las 10:28 UTC ^[8] Un análisis inicial publicado por Symantec tiene la marca de tiempo 07 :45 GMT. ^[9]

Referencias

1. "Symantec W32.SQLExp.Worm". Archivado desde el original el 10 de noviembre de 2006.
2. "CVE - CVE-2002-0649". cve.mitre.org . Consultado el 7 de septiembre de 2023 .
3. Mezquita, Ty (12 de febrero de 2020). "SQL Slammer Virus (Presagio de lo que vendrá)". CiberHoot .
4. Leyden, John (6 de febrero de 2003). "Slammer: Por qué la seguridad se beneficia del código de prueba de concepto". Registro . Consultado el 29 de noviembre de 2008 .
5. "Microsoft también atacado por un gusano". Cableado .
6. Bacarella, Michael (25 de enero de 2003). "¡EL GUSANO MS SQL ESTÁ DESTRUYENDO EL PUERTO 1434 DEL BLOQUE DE INTERNET!". Bugtraq . Consultado el 29 de noviembre de 2012 .
7. Boyle, Robert (25 de enero de 2003). "Tranquilidad a través de la integridad y la perspicacia". Archivos de Neohapsis. Archivado desde el original el 19 de febrero de 2009 . Consultado el 29 de noviembre de 2008 .
8. Koshy, Ben (25 de enero de 2003). "Tranquilidad a través de la integridad y la perspicacia". Archivos de Neohapsis. Archivado desde el original el 19 de febrero de 2009 . Consultado el 29 de noviembre de 2008 .
9. "Análisis de gusanos de SQL Server SQLExp" (PDF) . Análisis de amenazas del sistema de gestión de amenazas DeepSight™. 28 de enero de 2003. Archivado desde el original (PDF) el 7 de marzo de 2003.
10. Moore, David; et al. "La propagación del gusano zafiro/Slammer". CAIDA (Asociación Cooperativa para el Análisis de Datos de Internet) .
11. Serazzi, Giuseppe; Zanero, Stefano (2004). "Modelos de propagación de virus informáticos" (PDF) . En Calzarossa, María Carla; Gelenbe, Erol (eds.). Herramientas de rendimiento y aplicaciones para sistemas en red . Apuntes de conferencias sobre informática. vol. 2965, págs. 26–50.

enlaces externos

Noticias

• BBC NOTICIAS Tecnología Ataque similar a un virus afecta el tráfico web
• Gusano de MS SQL Server causando estragos
• Cableado 11.07: ¡Cerrado! Una explicación sencilla del código Slammer.

Anuncio

• Boletín de seguridad de Microsoft MS02-039 y parche
• "Aviso CERT CA-2003-04: Gusano de servidor MS-SQL". Instituto de Ingeniería de Software de la Universidad Carnegie Mellon . Archivado desde el original el 1 de febrero de 2003 . Consultado el 22 de septiembre de 2019 .{{cite web}}: Mantenimiento CS1: URL no apta ( enlace )
• Respuesta de seguridad de Symantec: W32.SQLExp.Worm

Análisis

• Dentro del gusano Slammer Revista de seguridad y privacidad del IEEE, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford y Nicholas Weaver

Detalles técnicos

• Código de gusano desensamblado en Wayback Machine (archivado el 22 de julio de 2011)
• Múltiples vulnerabilidades en Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute