SQL Slammer

SQL Slammer (znany również jako Sapphire ) to robak komputerowy, który spowodował rozszerzenie25 stycznia 2003odmowa usługi na niektórych Internet hostami , a dotkliwe spowolnienie ruchu internetowego . Jego rozprzestrzenianie się było przytłaczające. Michael Bacarella był pierwszym, który to ogłosił, ale to Christopher J. Rouland, CTO w ISS, nazwał go Slammer (patrz uwagi poniżej). Mimo że został nazwany „robakiem slammer SQL”, program nie używał języka SQL  ; raczej rozprzestrzenił się poprzez przepełnienie bufora typu luki w serwerowej bazie danych Microsoft SQL Server i MSDE , dla których łata już istnieje.

Historyczny

Plik 25 stycznia 2003O godzinie 05:30 UTC zaczął się rozprzestrzeniać robak komputerowy SQL Slammer. Rozprzestrzenił się tak szybko, że zaraził większość swoich ofiar w ciągu pierwszych dziesięciu minut ataku.

Jest to luka w zabezpieczeniach programu Microsoft SQL Server zgłoszona przez firmę Microsoft w dniu24 lipca 2002co umożliwiło implementację robaka. W tym samym czasie, co niniejszym ogłoszeniu, Microsoft opublikował również poprawkę na to wada , sześć miesięcy przed rozpoczęciem ataku.

SQL Slammer ujawnił, że niektórzy administratorzy sieci, w tym Microsoft, nie zastosowali niezbędnych poprawek do używanego przez nich oprogramowania, mimo że poprawka dla tej luki została wydana 6 miesięcy wcześniej. Rozprzestrzenianie się robaka. Możliwe jest również naprawienie tej usterki, instalując dodatek Service Pack 3 dla programu SQL Server.

Robak jest również znany pod nazwami: W32.SQLExp.Worm, DDOS.SQLP1434.A, SQL_HEL, W32 / SQLSlammer i Helkern.

Szczegóły techniczne

Operacja

Projekt robaka opiera się na weryfikacji koncepcji, przedstawionej na konferencji Black Hat przez Davida Litchfielda  (in) , wykorzystującej przepełnienie bufora typu luka , które wcześniej odkrył. Ten robak to mały kod, który nie robi nic poza losowym generowaniem adresów IP i wysyłaniem swoich kopii na te adresy. Jeśli pod jednym z tych adresów znajduje się komputer z uruchomioną wersją programu Microsoft SQL Server, do której nie zastosowano poprawki opublikowanej w biuletynie MS02-039 , natychmiast zostaje on zainfekowany i zaczyna z kolei wysyłać przez Internet nowe kopie robaka .

Robak kod , bardzo krótkie (306 bajtów ) nie zawiera żadnych wskazówek kopiuje się na dysk, więc tkwi tylko w pamięci, co czyni je bardzo łatwo usunąć. Możesz to zrobić za pomocą narzędzia do usuwania, takiego jak bezpłatne, udostępniane przez firmę Symantec (patrz łącze zewnętrzne poniżej) lub po prostu ponownie uruchamiając serwer, ale prawdopodobnie komputer zostanie niemal natychmiast ponownie zainfekowany.

Do szybkiego rozprzestrzeniania się robaka SQL Slammer przyczyniły się dwie kluczowe cechy: wykorzystanie protokołu UDP do infekowania nowych hostów oraz możliwość umieszczenia kodu robaka w jednym pakiecie UDP . Uwolniony przez UDP od potrzeby nawiązywania połączenia, jak w przypadku TCP, zainfekowany host mógłby zastosować strategię znaną jako „strzel i zapomnij”, aby przesyłać swój pakiet tak często, jak to możliwe (zwykle kilkaset na sekundę).

Robak ten nie ma wpływu na komputery osobiste (PC), o ile nie jest na nich zainstalowany aparat MSDE .

Efekty

Załamanie się wielu routerów , w reakcji na ogromny wzrost ruchu spowodowanego masowym wysyłaniem kopii robaka z zainfekowanych serwerów , spowodowało znaczne spowolnienie w Internecie ze względu na masowy ruch na porcie 1434. Z reguły jeśli ruch staje się zbyt duży, aby router mógł go obsłużyć, router powinien opóźniać lub tymczasowo zatrzymywać ruch. Przeciążenie przepustowości spowodowało awarię niektórych routerów, bezpośrednio „odłączonych” od Internetu przez sąsiednie routery (poprzez usunięcie tablicy routingu ). Wreszcie, wielokrotne powiadomienia o aktualizacjach tras, w celu usunięcia wymarłych routerów z sieci lub dodania nowych, które zostały uruchomione ponownie, bardzo szybko zmonopolizowały znaczną część przepustowości Internetu. W konsekwencji zwykły ruch został zwolniony, a w niektórych przypadkach nawet całkowicie się zatrzymał. To jednak ironia losu, że ze względu na swój bardzo mały rozmiar robak SQL Slammer może czasami być przesyłany, gdy legalny ruch nie może.

Uwagi

Istnieją kontrowersje co do tego, kto znalazł Slammera jako pierwszy, chociaż w praktyce jest to praktycznie niemożliwe do ustalenia. Możemy jednak przypisać pierwszy publiczny alert Michaelowi Bacarella, który wysłał wiadomość na liście dyskusyjnej Bugtraq  : "Robak MS SQL niszczy Internet - Zablokuj port 1434!" „(„  MS SQL WORM NISZCZY INTERNET - PORT BLOKU 1434!  ”). Wysłane o 07:11:41 UTC w dniu25 stycznia 2003.

Jednak pierwsze ogłoszenie często przypisuje się Benowi Koshy. Rzeczywiście, firma W3Media, dla której pracował, wydała stosowny komunikat prasowy. Jednak jego publiczne ostrzeżenie, wysłane na listę mailingową NTBugtraq, zostało wysłane dopiero o 10:28 UTC. Robert Boyle wysłał ostrzeżenie do NTBugtraq o 08:35 UTC, czyli przed Koshy, ale po Bacarelli.

ISS, za pośrednictwem Chrisa Roulanda, wysłało alerty odpowiednio o 11:54 UTC i 11:56 UTC na listach mailingowych ISSForum i Vulnwatch.

Bibliografia

1. (w) „  Robak SQL Slammer sieje spustoszenie w Internecie  ”
2. (in) „  Analiza robaka Sapphire - połączone wysiłki CAIDA, ICSI, Silicon Defense, UC Berkeley EECS i UC San Diego CSE  ”
3. (in) "  " Przepełnienia bufora usługi Microsoft SQL Server Resolution umożliwiają wykonanie dowolnego kodu "  "
4. (i) "  Net-Worm.Win32.Slammer  "
5. (w) "  " CERT Advisory CA-2002-22 Wiele luk w Microsoft SQL Server "  "
6. (in) „  CSI: zabezpieczenia firmy Microsoft otrzymują literę„ F ”  ”
7. (w) „  Apatia ujawniona przez robaka, wady Microsoftu  ”
8. (in) „  Virus SQL Slammer  ”
9. (en) „  Symantec W32.SQLExp.Worm - Podsumowanie  ”
10. John Leyden , „  Slammer: Dlaczego bezpieczeństwo korzysta z kodu potwierdzającego koncepcję  ”, Zarejestruj się ,6 lutego 2003( czytaj online , sprawdzono 29 listopada 2008 )
11. (en) "  Symantec W32.SQLExp.Worm - szczegóły techniczne  "
12. (in) „  Analiza zagrożeń systemu zarządzania zagrożeniami DeepSight: Analiza robaka SQLExp SQL Server  ”
13. (in) „  Rozprzestrzenianie się robaka SQL  ”
14. (w) „  Rozprzestrzenianie się robaka Sapphire / Slammer  ”
15. „  Robak: W32 / Slammer  ”
16. (in) "  Inside the Slammer Worm  "
17. (in) "  Wpływ robaków na stabilność routingu internetowego  "
18. (w) Michael Bacarella , „  MS SQL WORM NISZCZY PORT 1434 BLOKU INTERNETOWEGO!  » , Bugtraq,25 stycznia 2003(dostęp 29 listopada 2012 )
19. (w) „  W3 Digital Ben Koshy's first Internet to Identify 'Slammer' Virus  ' , informacja prasowa , W3 Media24 stycznia 2003(dostęp 29 listopada 2008 )
20. (w) Ben Koshy , „  Spokój ducha dzięki uczciwości i wnikliwości  ” [ archiwum 19 lutego 2009] , Neohapsis Archives,25 stycznia 2003(dostęp 29 listopada 2008 )
21. (w) Robert Boyle , „  Spokój ducha dzięki uczciwości i wnikliwości  ” [ archiwum19 lutego 2009] , Neohapsis Archives,25 stycznia 2003(dostęp 29 listopada 2008 )
22. (w) „  [ISSForum] ISS Security Brief: Microsoft SQL Slammer Worm Propagation  ” (dostęp 18 stycznia 2013 r. )
23. (w) X-Force, „  Spokój ducha dzięki integralności i wglądowi  ” [ archiwum19 lutego 2009] , Neohapsis Archives,25 stycznia 2003(dostęp 29 listopada 2008 )

Linki zewnętrzne

• POPRAWKA: MS02-039: Przepełnienia buforu w usłudze rozpoznawania programu SQL Server 2000 mogą pozwolić na uruchomienie kodu . Pozycja Q323875
• Biuletyn Microsoft Security Bulletin MS02-039 Biuletyn informujący o luce w zabezpieczeniach wykorzystywanej przez SQL Slammer
• Narzędzia do dezynfekcji firmy Symantec
• Sapphire przeraża sieć w sieci 01Net
• Narzędzia zabezpieczeń programu SQL Server 2000 w witrynie firmy Microsoft

• ( fr ) Ten artykuł jest częściowo lub w całości zaczerpnięty z artykułu Wikipedii w języku angielskim zatytułowanego „  SQL Slamer  ” ( zobacz listę autorów ) .