Iniciar sesi�n

Select the product you need help with

Un servidor de SQL Server no seguro que tiene una contrase�a de administrador de sistema (NULL) en blanco permite la vulnerabilidad de un gusano

Id. de art�culo: 313418 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Expandir todo | Contraer todo

S�ntomas

Un gusano, denominada "Voyager Alpha Force," que aprovecha en blanco las contrase�as de administrador ( sa ) de sistema ha encontrado en Internet de SQL Server. El gusano busca un servidor que ejecuta SQL Server mediante la exploraci�n para el puerto 1433. Puerto 1433 es el puerto de predeterminada de SQL Server. Si el gusano encuentra un servidor, intenta iniciar sesi�n en la instancia predeterminada de que SQL Server con una contrase�a (NULL) sa en blanco.

Si el inicio de sesi�n es correcta, difunde la direcci�n del servidor SQL desprotegidos en un canal de Internet Relay Chat (IRC) y, a continuaci�n, intenta cargar y ejecutar un archivo ejecutable desde un sitio FTP en Filipinas. Posiblemente iniciar una sesi�n SQL Server como sa proporciona el acceso de usuario administrativo en el equipo y seg�n su entorno particular, el acceso a otros equipos.

Volver al principio | Enviar comentarios

Soluci�n

Cada uno de los pasos de esta secci�n le ayudar� a proteger su sistema en general, e cualquiera de ellos �nicamente impedir� este gusano particular infecte al servidor que ejecuta SQL Server. Observe que estos pasos son parte de la seguridad est�ndar "pr�cticas recomendadas" para cualquier instalaci�n de SQL Server.

Si el modo de autenticaci�n es el modo mixto (Windows autenticaci�n y autenticaci�n de SQL Server), proteger la cuenta de inicio de sesi�n sa con una contrase�a no es NULL. El gusano s�lo funciona si no dispone de ninguna seguridad para la cuenta de inicio de sesi�n sa . Por lo tanto, es mejor seguir la recomendaci�n del tema "Sistema de administrador (SA) Login" en libros en pantalla de SQL Server para asegurarse de que la cuenta sa tiene una contrase�a segura, incluso si nunca utiliza directamente la cuenta sa usted mismo. Para mayor seguridad, habilitar modo de autenticaci�n de Windows (s�lo autenticaci�n de Windows,), quitar, por lo tanto, la posibilidad de que nadie inicie sesi�n como usuario sa . Configure los clientes para utilizar la autenticaci�n de Windows.
Habilitar la auditor�a de inicios de sesi�n correctos y err�neos y a continuaci�n, detenga y reinicie el servicio MSSQLServer.
Bloquear el puerto 1433 en las puertas de enlace de Internet y asignar SQL Server para escuchar en un puerto alternativo.
Si el puerto 1433 debe estar disponible en las puertas de enlace de Internet, habilitar el filtrado para evitar el uso indebido de entrada/salida de este puerto. Nota contactos el Administrador de red o su proveedor de servidor de seguridad para obtener m�s informaci�n sobre c�mo configurar el filtrado de entrada/salida.
Ejecute el servicio de SQL Server y Agente SQL Server bajo una cuenta normal de Microsoft Windows NT, no una cuenta administrativa local.

Para obtener informaci�n acerca de c�mo recuperar un sistema ya est� en riesgo, visite el CERT Coordination Center independientes en el siguiente sitio Web:

"Pasos para la recuperaci�n de UNIX o en peligro el sistema NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

(http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)

"Lista de detecci�n de intrusos"
http://www.cert.org/archive/pdf/WIDC.pdf

(http://www.cert.org/archive/pdf/widc.pdf)

Microsoft proporciona informaci�n de contacto con otros proveedores para ayudarle a encontrar soporte t�cnico. Esta informaci�n de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garant�a con respecto a la exactitud de esta informaci�n de contacto con otros proveedores.

Volver al principio | Enviar comentarios

M�s informaci�n

importante : no es ning�n error en SQL Server que permite esta penetraci�n; es una vulnerabilidad que se crea un sistema no seguro.

Los archivos siguientes indican la presencia del gusano:

rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)

Adem�s, la apariencia de la siguiente clave del registro indica la presencia de este gusano:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg

Las claves del Registro siguientes son las claves existentes para SQL Server y se utilizan por el gusano para controlar el acceso al equipo mediante la biblioteca de red TCP/IP:

SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY

El gusano utiliza el procedimiento almacenado, que permite el gusano ejecutar cualquier comando de sistema operativo que la cuenta que ejecuta el servicio de SQL Server tiene permiso para ejecutar extendido xp_cmdshell .

Para obtener m�s informaci�n acerca de c�mo proteger un servidor SQL Server, visite los siguientes sitios Web de Microsoft:

http://www.microsoft.com/sql/technologies/security/default.mspx

(http://www.microsoft.com/sql/technologies/security/default.mspx)

http://technet.microsoft.com/en-us/library/bb545450.aspx

(http://technet.microsoft.com/en-us/library/bb545450.aspx)

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 313418 - �ltima revisi�n: viernes, 27 de julio de 2007 - Versi�n: 7.5

La informaci�n de este art�culo se refiere a:

Microsoft SQL Server 2000 Standard Edition
Microsoft SQL Server 7.0 Standard Edition
Microsoft Data Engine 1.0

kbmt kbprb KB313418 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 313418

(http://support.microsoft.com/kb/313418/en-us/ )

Volver al principio | Enviar comentarios