Un gusano conocido como “Voyager Alpha Force”, se aprovecha de servidores Microsoft SQL Server instalados con contraseñas de administrador en blanco (sa), para la ejecución de un archivo ejecutable descargado de un sitio FTP en las Filipinas.
Los servidores SQL permiten la gestión y el análisis de bases de datos para todos los tipos de aplicaciones de procesos empresariales, comercio electrónico y sitios de Internet en general.
El gusano busca computadoras que estén ejecutando estos
servidores, escaneando la presencia de un puerto 1433
abierto, el cuál es el puerto estándar para el Microsoft SQL
Server.
Si el gusano encuentra un servidor en este puerto, intenta
acceder a él con la contraseña asignada por defecto al
administrador del sistema. En una instalación con valores
predeterminados, estos servidores habilitan esta contraseña
(sa) como nula (solo Enter).
Si el acceso es exitoso, el gusano envía la dirección IP del
servidor SQL desprotegido a un canal de IRC (Internet Relay
Chat), e intenta descargar y luego ejecutar un archivo
localizado en un servidor FTP en Filipinas.
Al logearse con las contraseñas del usuario administrativo
(sa), el gusano puede tener el acceso total a la computadora
con el servidor SQL, y de acuerdo a la configuración del
mismo, posiblemente también a otras computadoras.
Microsoft aconseja ciertos procedimientos para asegurar estos
servidores, entre ellos el cambio de la contraseña del
usuario administrativo, y por supuesto no utilizar jamás
contraseñas por defecto o vacías (solo Enter), en ninguna
instalación realizada. Lamentablemente, esta práctica, contra
lo que podría pensarse, es mucho más común de lo que parece.
Otras recomendaciones son bloquear el puerto 1433 y asignar a
estos servidores un puerto diferente.
También se aconseja ejecutar el servicio SQLServer y SQL
Server Agent, bajo una cuenta de Windows NT ordinaria, y no
bajo una cuenta administrativa local.
Aquellos que crean tener comprometidos sus sistemas, pueden
encontrar información para recuperarlos, en los siguientes
enlaces del CERT (Computer Emergency Response Team):
Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Intruder Detection Checklist
http://www.cert.org/tech_tips/intruder_detection_checklist.html
Es bueno hacer notar que este gusano se vale de una
instalación inadecuada del sistema, y no de alguna falla en
el software propiamente dicho.
La presencia de los siguientes archivos en un sistema SQL
Server, podría indicar una infección con este gusano:
rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
MD5 (Message Digest Algorithm #5), es un algoritmo de cifrado
que realiza la comprobación de la integridad de archivos
binarios, mediante la generación de códigos de control
llamados “hashes”, una clase de huella digital única.
Si los archivos existen, puede comprobarse si son los creados
por el troyano, con alguna herramienta MD5, comparando los
valores arriba indicados.
También podría ser una señal de la presencia del gusano, la
aparición de la siguiente clave en el registro de Windows:
SOFTWAREMicrosoftWindowsCurrentVersionRun
TaskReg
Las siguientes claves, normalmente son agregadas en la
instalación normal de un servidor SQL, pero también son
usadas por el gusano para controlar su acceso a la
computadora utilizando las librerías de redes TCP/IP:
SOFTWAREMicrosoftMSSQLServerClient
SuperSocketNetLibProtocolOrder
SOFTWAREMicrosoftMSSQLServerClient
ConnectToDSQUERY
El gusano hace uso del procedimiento “xp_cmdshell” para
ejecutar comandos del sistema operativo, con los mismos
permisos de la cuenta en que se esté ejecutando el SQL
Server.
Los siguientes enlaces proveen información para hacer más
seguro un servidor SQL:
http://www.microsoft.com/technet/prodtechnol/sql/maintain/security/sp3sec/Default.asp
http://www.microsoft.com/sql/techinfo/administration/2000/security/default.asp
Esta advertencia se aplica a los siguientes productos:
Microsoft SQL Server 2000 (todas las ediciones)
Microsoft SQL Server 7.0
Microsoft Data Engine (MSDE) 1.0
Del gusano propiamente dicho (llamado “Voyager Alpha Force”),
no hay al momento una descripción más detallada.
* Más información:
Microsoft Knowledge Base Article – 313418
PRB: Unsecured SQL Server with Blank (NULL) SA Password
Leaves Vulnerability to a Worm
http://support.microsoft.com/default.aspx?scid=kb;en-us;313418
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com