Um servidor SQL Server não seguro que tenha uma senha de administrador de sistema (NULL) em branco permite que vulnerabilidade a um worm

Traduções deste artigo Traduções deste artigo
ID do artigo: 313418 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Um worm, cujo codinome é "Voyager Alpha Force," que tira proveito em branco o SQL Server senhas de administrador ( sa ) do sistema foi encontrado na Internet. O worm procura um servidor que está executando o SQL Server por verificação de porta 1433. Porta 1433 é a porta de padrão do SQL Server. Se o worm localiza um servidor, ele tenta fazer logon na instância padrão do que SQL Server com uma senha em branco (nula) sa .

Se o logon é bem-sucedido, ele transmite o endereço do servidor SQL desprotegidos em um canal de Internet Relay Chat (IRC) de e, em seguida, tenta carregar e executar um arquivo executável de um site FTP em Filipinas. Possivelmente fazendo logon para o SQL Server como sa concede o acesso administrativo do usuário para o computador e dependendo do seu ambiente específico, o acesso a outros computadores.

Como Contornar

Cada uma das etapas nesta seção irá ajudar a tornar seu sistema mais seguro em geral, e qualquer um deles sozinho impedirá esse worm específico infecte seu servidor executando o SQL Server. Observe que essas etapas são parte da segurança padrão "práticas recomendadas" para qualquer instalação do SQL Server.
  • Se o modo de autenticação modo misto (Windows autenticação e autenticação do SQL Server), proteger sua conta de logon do sa com uma senha não nula. O worm só funciona se você não tiver nenhuma segurança para sua conta de logon do sa . Portanto, é melhor seguir a recomendação do tópico "Logon de (SA) do administrador do sistema" no SQL Server Books Online Certifique-se que a conta sa tem uma senha forte, mesmo se você nunca diretamente usar a conta sa você mesmo. Para aumentar a segurança, ative Windows Authentication Mode (autenticação do Windows somente), assim removendo a capacidade para qualquer pessoa faça logon como usuário sa . Configure seus clientes para usar a autenticação do Windows.
  • Habilitar a auditoria de logons e bem-sucedidos e em seguida, pare e reinicie o serviço MSSQLServer.
  • Bloqueie a porta 1433 no seus gateways da Internet e atribua o SQL Server para escutar em uma porta alternativa.
  • Se a porta 1433 deve estar disponível em seus gateways da Internet, ativar filtragem para impedir o uso indevido de saída/ingresso desta porta. Observação contate administrador de rede ou o fornecedor do firewall para obter mais informações sobre como configurar filtragem de ingresso/saída.

  • Execute o serviço SQLServer e o SQL Server Agent em uma conta comum do Microsoft Windows NT, não uma conta administrativa local.
Para obter informações sobre como recuperar um sistema já comprometido, visite o CERT Coordination Center independente no seguinte site:
"Etapas para recuperar de um UNIX ou o comprometimento do sistema NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"Lista de verificação detecção de intruso"
http://www.cert.org/archive/pdf/WIDC.pdf
A Microsoft fornece terceiros informações de contatos para ajudá-lo a encontrar suporte técnico. Essa informações de contatos podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações contatos de terceiros.

Mais Informações

importante : não é nenhum bug no SQL Server que permite que essa penetração; é uma vulnerabilidade que é criada por um sistema não seguro.

Os arquivos a seguir indicam a presença do worm:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
Além disso, a aparência da seguinte chave do Registro indica a presença desse vírus:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
As seguintes chaves do Registro são chaves existentes para o SQL Server, e eles são usados pelo worm para controlar o acesso ao computador usando a biblioteca de rede TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
O worm usa xp_cmdshell procedimento armazenado, que permite que o worm executar qualquer comando do sistema operacional se a conta executando o serviço do SQL Server tem permissão para executar estendido.

Para obter mais informações sobre como ajudar a proteger um servidor do SQL Server, visite os seguintes sites:
http://www.microsoft.com/sql/technologies/security/default.mspx

http://technet.microsoft.com/en-us/library/bb545450.aspx

Propriedades

ID do artigo: 313418 - Última revisão: sexta-feira, 27 de julho de 2007 - Revisão: 7.5
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
Palavras-chave: 
kbmt kbprb KB313418 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 313418

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com