Um servidor SQL Server não seguro que tenha uma senha de administrador de sistema (NULL) em branco permite que vulnerabilidade a um worm

Um worm, cujo codinome é "Voyager Alpha Force," que tira proveito em branco o SQL Server senhas de administrador ( sa ) do sistema foi encontrado na Internet. O worm procura um servidor que está executando o SQL Server por verificação de porta 1433. Porta 1433 é a porta de padrão do SQL Server. Se o worm localiza um servidor, ele tenta fazer logon na instância padrão do que SQL Server com uma senha em branco (nula) sa .

Se o logon é bem-sucedido, ele transmite o endereço do servidor SQL desprotegidos em um canal de Internet Relay Chat (IRC) de e, em seguida, tenta carregar e executar um arquivo executável de um site FTP em Filipinas. Possivelmente fazendo logon para o SQL Server como sa concede o acesso administrativo do usuário para o computador e dependendo do seu ambiente específico, o acesso a outros computadores.

Cada uma das etapas nesta seção irá ajudar a tornar seu sistema mais seguro em geral, e qualquer um deles sozinho impedirá esse worm específico infecte seu servidor executando o SQL Server. Observe que essas etapas são parte da segurança padrão "práticas recomendadas" para qualquer instalação do SQL Server.

• Se o modo de autenticação modo misto (Windows autenticação e autenticação do SQL Server), proteger sua conta de logon do sa com uma senha não nula. O worm só funciona se você não tiver nenhuma segurança para sua conta de logon do sa . Portanto, é melhor seguir a recomendação do tópico "Logon de (SA) do administrador do sistema" no SQL Server Books Online Certifique-se que a conta sa tem uma senha forte, mesmo se você nunca diretamente usar a conta sa você mesmo. Para aumentar a segurança, ative Windows Authentication Mode (autenticação do Windows somente), assim removendo a capacidade para qualquer pessoa faça logon como usuário sa . Configure seus clientes para usar a autenticação do Windows.
• Habilitar a auditoria de logons e bem-sucedidos e em seguida, pare e reinicie o serviço MSSQLServer.
• Bloqueie a porta 1433 no seus gateways da Internet e atribua o SQL Server para escutar em uma porta alternativa.
• Se a porta 1433 deve estar disponível em seus gateways da Internet, ativar filtragem para impedir o uso indevido de saída/ingresso desta porta. Observação contate administrador de rede ou o fornecedor do firewall para obter mais informações sobre como configurar filtragem de ingresso/saída.
  
  
• Execute o serviço SQLServer e o SQL Server Agent em uma conta comum do Microsoft Windows NT, não uma conta administrativa local.

Para obter informações sobre como recuperar um sistema já comprometido, visite o CERT Coordination Center independente no seguinte site: A Microsoft fornece terceiros informações de contatos para ajudá-lo a encontrar suporte técnico. Essa informações de contatos podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações contatos de terceiros.

importante : não é nenhum bug no SQL Server que permite que essa penetração; é uma vulnerabilidade que é criada por um sistema não seguro.

Os arquivos a seguir indicam a presença do worm:

• rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
• dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
• win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)

Além disso, a aparência da seguinte chave do Registro indica a presença desse vírus: As seguintes chaves do Registro são chaves existentes para o SQL Server, e eles são usados pelo worm para controlar o acesso ao computador usando a biblioteca de rede TCP/IP: O worm usa xp_cmdshell procedimento armazenado, que permite que o worm executar qualquer comando do sistema operacional se a conta executando o serviço do SQL Server tem permissão para executar estendido.

Para obter mais informações sobre como ajudar a proteger um servidor do SQL Server, visite os seguintes sites: