Un servidor de SQL Server no seguro que tiene una contraseña de administrador de sistema (NULL) en blanco permite la vulnerabilidad de un gusano

Seleccione idioma Seleccione idioma
Id. de artículo: 313418 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Un gusano, denominada "Voyager Alpha Force," que aprovecha en blanco las contraseñas de administrador ( sa ) de sistema ha encontrado en Internet de SQL Server. El gusano busca un servidor que ejecuta SQL Server mediante la exploración para el puerto 1433. Puerto 1433 es el puerto de predeterminada de SQL Server. Si el gusano encuentra un servidor, intenta iniciar sesión en la instancia predeterminada de que SQL Server con una contraseña (NULL) sa en blanco.

Si el inicio de sesión es correcta, difunde la dirección del servidor SQL desprotegidos en un canal de Internet Relay Chat (IRC) y, a continuación, intenta cargar y ejecutar un archivo ejecutable desde un sitio FTP en Filipinas. Posiblemente iniciar una sesión SQL Server como sa proporciona el acceso de usuario administrativo en el equipo y según su entorno particular, el acceso a otros equipos.

Solución

Cada uno de los pasos de esta sección le ayudará a proteger su sistema en general, e cualquiera de ellos únicamente impedirá este gusano particular infecte al servidor que ejecuta SQL Server. Observe que estos pasos son parte de la seguridad estándar "prácticas recomendadas" para cualquier instalación de SQL Server.
  • Si el modo de autenticación es el modo mixto (Windows autenticación y autenticación de SQL Server), proteger la cuenta de inicio de sesión sa con una contraseña no es NULL. El gusano sólo funciona si no dispone de ninguna seguridad para la cuenta de inicio de sesión sa . Por lo tanto, es mejor seguir la recomendación del tema "Sistema de administrador (SA) Login" en libros en pantalla de SQL Server para asegurarse de que la cuenta sa tiene una contraseña segura, incluso si nunca utiliza directamente la cuenta sa usted mismo. Para mayor seguridad, habilitar modo de autenticación de Windows (sólo autenticación de Windows,), quitar, por lo tanto, la posibilidad de que nadie inicie sesión como usuario sa . Configure los clientes para utilizar la autenticación de Windows.
  • Habilitar la auditoría de inicios de sesión correctos y erróneos y a continuación, detenga y reinicie el servicio MSSQLServer.
  • Bloquear el puerto 1433 en las puertas de enlace de Internet y asignar SQL Server para escuchar en un puerto alternativo.
  • Si el puerto 1433 debe estar disponible en las puertas de enlace de Internet, habilitar el filtrado para evitar el uso indebido de entrada/salida de este puerto. Nota contactos el Administrador de red o su proveedor de servidor de seguridad para obtener más información sobre cómo configurar el filtrado de entrada/salida.

  • Ejecute el servicio de SQL Server y Agente SQL Server bajo una cuenta normal de Microsoft Windows NT, no una cuenta administrativa local.
Para obtener información acerca de cómo recuperar un sistema ya está en riesgo, visite el CERT Coordination Center independientes en el siguiente sitio Web:
"Pasos para la recuperación de UNIX o en peligro el sistema NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"Lista de detección de intrusos"
http://www.cert.org/archive/pdf/WIDC.pdf
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Más información

importante : no es ningún error en SQL Server que permite esta penetración; es una vulnerabilidad que se crea un sistema no seguro.

Los archivos siguientes indican la presencia del gusano:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
Además, la apariencia de la siguiente clave del registro indica la presencia de este gusano:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Las claves del Registro siguientes son las claves existentes para SQL Server y se utilizan por el gusano para controlar el acceso al equipo mediante la biblioteca de red TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
El gusano utiliza el procedimiento almacenado, que permite el gusano ejecutar cualquier comando de sistema operativo que la cuenta que ejecuta el servicio de SQL Server tiene permiso para ejecutar extendido xp_cmdshell .

Para obtener más información acerca de cómo proteger un servidor SQL Server, visite los siguientes sitios Web de Microsoft:
http://www.microsoft.com/sql/technologies/security/default.mspx

http://technet.microsoft.com/en-us/library/bb545450.aspx

Propiedades

Id. de artículo: 313418 - Última revisión: viernes, 27 de julio de 2007 - Versión: 7.5
La información de este artículo se refiere a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
Palabras clave: 
kbmt kbprb KB313418 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 313418

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com