Um servidor de SQL Server não seguro com uma palavra-passe em branco (NULL) sistema administrador permite vulnerabilidade para um worm

Um worm, com o nome de código "Voyager alfa Force," que tira partido do SQL Server em branco ( sa ) do administrador de sistema palavras-passe foi encontrada na Internet. O worm procura um servidor que está a executar o SQL Server através da pesquisa para a porta 1433. A porta 1433 é a porta de predefinida do SQL Server. Se o worm encontrar um servidor, tenta iniciar sessão instância predefinida do que o SQL Server com uma palavra-passe (NULL) sa em branco.

Se o início de sessão for bem sucedido, é difunde o endereço do SQL Server não protegido num canal Internet Relay Chat (IRC) e, em seguida, tenta carregar e executar um ficheiro executável de um site FTP em Filipinas. Iniciar sessão no SQL Server como sa fornece ao utilizador acesso administrativo ao computador e consoante o seu ambiente específico, possivelmente aceder a outros computadores.

Cada um dos passos nesta secção irá ajudar a proteger o sistema em geral, e qualquer um deles apenas impede este worm específico infecte o servidor com o SQL Server. Note que estes passos são parte a segurança padrão "procedimentos recomendados" para qualquer instalação do SQL Server.

• Se o modo de autenticação de modo misto (Windows autenticação e do SQL Server), proteger a conta de início de sessão sa com uma palavra-passe não NULL. O worm só funciona se tiver sem segurança para a conta de início de sessão sa . Por conseguinte, recomenda-se a seguir a recomendação do tópico "Administrador de sistema (SA, Security ASSOCIATION) login" no SQL Server Books Online para garantir que a conta sa incorporada tem uma palavra-passe forte, mesmo que nunca directamente utilize a conta sa manualmente. Para uma maior segurança, activar modo de autenticação do Windows (apenas autenticação do Windows), assim, remover a possibilidade de que ninguém inicie sessão como utilizador de sa . Configure os clientes para utilizar a autenticação do Windows.
• Activar a auditoria para inícios de sessão falhados e com êxito e, em seguida, pare e reinicie o serviço MSSQLServer.
• Bloqueie a porta 1433 nos gateways da Internet e atribuir o SQL Server para escutar uma porta alternativa.
• Se a porta 1433 deve estar disponível os gateways da Internet, Activar filtragem para evitar utilização indevida entrar saída/entrada de uma porta este. NOTA: contacte o administrador de rede ou o fornecedor da firewall para mais informações sobre como configurar a filtragem de entrar de entrada/saída.
  
  
• Execute o serviço SQLServer e SQL Server Agent sob uma conta normal do Microsoft Windows NT, não uma conta administrativa local.

Para obter informações sobre como recuperar um sistema já comprometido, visite o independentes CERT Coordination Center no seguinte Web site: Microsoft fornece informações de contactos outros fabricantes para ajudar a encontrar suporte técnico. Poderá ser alterado estas informações de contacto sem aviso prévio. Microsoft não garante a precisão destas informações de contacto outros fabricantes.

importante : não existe nenhum erro no SQL Server que permite que este Penetração; é uma vulnerabilidade que é criada por um sistema não seguro.

Os seguintes ficheiros indicarem a presença do worm:

• rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
• dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
• win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)

Além disso, o aspecto da seguinte chave de registo indica a presença deste worm: As seguintes chaves de registo são as chaves existentes para o SQL Server e são utilizados pelo worm para controlar o acesso ao computador utilizando a biblioteca de rede TCP/IP: O worm utiliza xp_cmdshell expandido o procedimento armazenado, permitindo que o worm executar qualquer comando de sistema operativo que a conta a executar o serviço SQL Server tem permissão para executar.

Para obter mais informações sobre como ajudar a proteger um servidor de SQL Server, visite os seguintes Web sites da Microsoft: