|
|
SQL Sapphire (Slammer) kurtçuğu
|
|
|
Ana sayfa
Haberler
|
|
|
Yazar: Ertan Kurt
|
Yayınlanma tarihi: 25.01.2003 16:59
|
|
24 Ocak 2003 cuma gecesi geç saatlerde yeni bir SQL kurtçuğu hızla yayılmaya başladı.
|
Kurtçuk Microsoft SQL Server 2000'de bulunan bir hafıza taşması açığını kullanarak yayılıyor. SQL 2000 sunucusundaki açık Haziran 2002'de Next Generation Security Software Ltd. tarafından bulunmuştu. Hafıza taşması SQL sunucusunun Microsoft SQL Monitör portuna gönderilen verileri düzgün olarak işleyememesinden kaynaklanıyordu. Bu açıktan yararlanan saldırganlar kodlarını SYSTEM hakları ile çalıştırabiliyorlar.
Kurtçuk Pseudo-random IP adresleri yaratıp kendisini yaymaya çalışıyor. Kurtçuğun işlevleri arasında başka kötü amaçlı bir işlem yok (arka-kapı açmak vs.) fakat solucanın sistemleri etkileme denemelerinin hızı sonucunda etkilenen ağlara bir servis kullanımı engelleme saldırısı etkisi yapıyor.
Bu kurtçuk daha önce keşfedilen SQL kurtçuğundan çok daha farklı ve konfigürasyon hatası yerine yazılımın açığını kullandığı için çok daha etkili. Kurtçuğun yayılma işlemi sırasında pek çok ağ kullanılamaz duruma geldi.
Çözüm:
SQL servisleri portlarına erişimin ağ geçitlerinde bloklanması öneriliyor. Kurtçuk kendisini yeni sistemlere kopyalayabilmek için sadece UDP port 1434'ü (SQL Monitor Port) kullanıyor fakat tüm SQL servisleri portlarını filtrelemek iyi bir önlem olabilir. Aşağıdakiler SQL sunucusunun kullandığı portlardır:
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor
ms-sql-m 1434/udp #Microsoft-SQL-Monitor
Ve yine bir kurtçuk yaması aylar önce çıkmış bir güvenlik açığını kullanıyor. Microsoft açığı gideren bir servis pakedi de (SQL service pack 3) çıkarmıştı.
Yama:
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
SQL 2000 Service Pack 3:
http://www.microsoft.com/sql/downloads/2000/sp3.asp
kaynak: Marc Maiffret <marc at EEYE.COM> http://www.eEye.com
http://story.news.yahoo.com/news?tmpl=story&u=/ap/20030125/ap_wo_en_po/na_gen_internet_attack_2
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21824 |
|
|
|
