SQL Slammer - SQL Slammer

SQL Slammer é um worm de computador de 2003 que causou uma negação de serviço em alguns hosts da Internet e reduziu drasticamente o tráfego geral da Internet . Ele se espalhou rapidamente, infectando a maioria de suas 75.000 vítimas em dez minutos.

O programa explorou um bug de estouro de buffer nos produtos de banco de dados SQL Server e Desktop Engine da Microsoft . Embora o patch MS02-039 tenha sido lançado seis meses antes, muitas organizações ainda não o haviam aplicado.

Detalhes técnicos

O worm foi baseado em um código de prova de conceito demonstrado no Black Hat Briefings por David Litchfield , que inicialmente descobriu a vulnerabilidade de estouro de buffer que o worm explorava. É um pequeno trecho de código que faz pouco além de gerar endereços IP aleatórios e se enviar para esses endereços. Se um endereço selecionado pertencer a um host que está executando uma cópia não corrigida do Microsoft SQL Server Resolution Service escutando na porta UDP 1434, o host será imediatamente infectado e começará a espalhar na Internet mais cópias do programa worm.

Os PCs domésticos geralmente não são vulneráveis ​​a esse worm, a menos que tenham o MSDE instalado. O worm é tão pequeno que não contém código para se gravar no disco, portanto, permanece apenas na memória e é fácil de remover. Por exemplo, a Symantec fornece um utilitário de remoção gratuito ou pode até ser removido reiniciando o SQL Server (embora a máquina provavelmente seja reinfectada imediatamente).

O worm foi possibilitado por uma vulnerabilidade de segurança de software no SQL Server relatada pela primeira vez pela Microsoft em 24 de julho de 2002. Um patch estava disponível na Microsoft por seis meses antes do lançamento do worm, mas muitas instalações não tinham sido corrigidas - incluindo muitas na Microsoft .

O worm começou a ser notado no início de 25 de janeiro de 2003, pois tornava os sistemas mais lentos em todo o mundo. A desaceleração foi causada pelo colapso de vários roteadores sob a carga de tráfego de bombardeio extremamente alto de servidores infectados. Normalmente, quando o tráfego é muito alto para os roteadores manipularem, eles devem atrasar ou interromper temporariamente o tráfego da rede. Em vez disso, alguns roteadores travaram (tornaram-se inutilizáveis) e os roteadores "vizinhos" perceberam que esses roteadores pararam e não deveriam ser contatados (também conhecido como "removidos da tabela de roteamento "). Os roteadores começaram a enviar avisos sobre esse assunto para outros roteadores que conheciam. A enxurrada de avisos de atualização da tabela de roteamento fez com que alguns roteadores adicionais falhassem, agravando o problema. Eventualmente, os mantenedores dos roteadores travados os reiniciam, fazendo com que eles anunciem seu status, levando a outra onda de atualizações da tabela de roteamento. Logo, uma porção significativa da largura de banda da Internet foi consumida por roteadores que se comunicavam entre si para atualizar suas tabelas de roteamento, e o tráfego de dados comum ficou lento ou, em alguns casos, parou completamente. Como o worm SQL Slammer era muito pequeno, às vezes ele conseguia passar quando o tráfego legítimo não era.

Dois aspectos principais contribuíram para a rápida propagação do SQL Slammer. O worm infectou novos hosts por meio do protocolo UDP sem sessão e todo o worm (apenas 376 bytes) cabia em um único pacote. Como resultado, cada host infectado poderia simplesmente "disparar e esquecer" os pacotes o mais rápido possível.

Notas

Referências

links externos

Notícia
Anúncio
Análise
  • Por dentro do Slammer Worm IEEE Security and Privacy Magazine, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford e Nicholas Weaver
Detalhes técnicos