Un server di SQL Server non protetto con una password dell'amministratore di sistema vuota (NULL) consente di vulnerabilitÓ di un worm

Traduzione articoli Traduzione articoli
Identificativo articolo: 313418 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Un worm, nome in codice "Viaggio Alpha Force," che sfrutta vuoto di SQL Server password di amministratore ( sa ) di sistema Ŕ stato trovato su Internet. Il worm consente di cercare un server che esegue SQL Server tramite l'analisi per la porta 1433. Porta 1433 Ŕ la porta di predefinita di SQL Server. Se un server rileva che il worm, tenta di accedere all'istanza predefinita di SQL Server con una password (NULL) sa vuota.

Se l'account di accesso ha esito positivo, trasmette l'indirizzo del server SQL non protetto su un canale IRC (Internet Relay Chat) e quindi tenta di caricare ed eseguire un file eseguibile da un sito FTP in Filippine. Probabilmente accesso a SQL Server come sa fornisce l'accesso amministrativo all'utente al computer e a seconda dell'ambiente particolare, l'accesso a altri computer.

Workaround

Tutti i passaggi in questa sezione consentiranno di rendere pi¨ sicuro il sistema in generale, e uno di essi solo impedirÓ questo particolare worm di infettare il server che esegue SQL Server. Si noti che questi passaggi sono parte della protezione standard "procedure ottimali" per qualsiasi installazione di SQL Server.
  • Se la modalitÓ di autenticazione Ŕ modalitÓ mista (Windows Authentication e autenticazione di SQL Server), proteggere l'account di accesso sa con una password non NULL. Il worm funziona solo se non si dispone di alcuna protezione per l'account di accesso sa . Si consiglia pertanto di raccomandazione l'argomento "System Administrator (SA) Login" nella documentazione in linea per assicurarsi che l'account sa incorporato disponga di una password complessa, anche se non si direttamente utilizza l'account sa manualmente. Per aumentare la protezione, abilitare autenticazione di Windows (autenticazione di Windows solo), rimuovendo la possibilitÓ di a chiunque di accedere come utente dell'amministratore di sistema . Configurare i client per utilizzare l'autenticazione di Windows.
  • Attivare il controllo per gli accessi riusciti e non riusciti, quindi arrestare e riavviare il servizio MSSQLServer.
  • Bloccare la porta 1433 a livello di gateway Internet e assegnare di SQL Server per l'ascolto su una porta alternativa.
  • Se la porta 1433 deve essere disponibile nel gateway Internet, attivare egress/ingresso filtro per evitare un uso improprio di questa porta. Nota contattare nell'amministratore di rete o il fornitore del firewall per ulteriori informazioni sull'impostazione di filtro in ingresso/uscita.

  • Eseguire il servizio SQL Server e Agente SQL Server con un normale account di Microsoft Windows NT, non un account amministrativo locale.
Per informazioni su come ripristinare un sistema giÓ compromesso, visitare l'indipendenti CERT Coordination Center sul seguente sito Web:
"Procedura per il ripristino da un UNIX o danneggiare il sistema NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"Intruso Detection Checklist"
http://www.cert.org/archive/pdf/WIDC.pdf
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono pertanto soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni sul contatti-altri produttori.

Informazioni

importante : non Ŕ nessun bug in SQL Server che consente la penetrazione; Ŕ una vulnerabilitÓ che viene creata da un sistema non protetto.

I file seguenti indicano la presenza del worm:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
Inoltre, l'aspetto della seguente chiave del Registro di sistema indica la presenza di questo worm:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Seguenti chiavi del Registro di sistema sono le chiavi esistenti per SQL Server e vengono utilizzate dal worm per controllare l'accesso al computer utilizzando la libreria di rete TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Utilizza la stored procedure xp_cmdshell stored procedure estesa, che consente il worm eseguire qualsiasi comando che l'account che esegue il servizio SQL Server disponga delle autorizzazioni per l'esecuzione del sistema operativo.

Per ulteriori informazioni su come proteggere un server SQL Server, visitare i seguenti siti Web Microsoft:
http://www.microsoft.com/sql/technologies/security/default.mspx

http://technet.microsoft.com/en-us/library/bb545450.aspx

ProprietÓ

Identificativo articolo: 313418 - Ultima modifica: venerdý 27 luglio 2007 - Revisione: 7.5
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
Chiavi:á
kbmt kbprb KB313418 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 313418
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com