現在オフラインです。再接続するためにインターネットの接続を待っています

[PRB] 空白 (NULL) の sa パスワードを使用している、セキュリティで保護されていない SQL Server のワームに対する脆弱性

現象
SQL Server の空白の sa (システム管理者) パスワードを悪用する、"Voyager Alpha Force" と呼ばれるワームがインターネットで見つかっています。ワームはポート 1433 をスキャンすることで SQL Server を実行しているサーバーを探します。ポート 1433 は SQL Server のデフォルトのポートです。ワームはサーバーを検出すると、空白 (NULL) の sa パスワードを使用して、その SQL Server のデフォルトのインスタンスにログインします。

ログインが成功すると、ワームは IRC (インターネット リレー チャット) チャネルで、セキュリティで保護されていない SQL Server のアドレスをブロードキャストし、フィリピンにある FTP サイトから実行可能ファイルを読み、実行します。SQL Server に sa としてログインすると、そのユーザーはコンピュータへの管理アクセス権を取得し、特定の環境によっては、他のコンピュータにアクセスできるようになります。
回避策
ここに記載されているのは、システムのセキュリティを強化するのに役立つ一般的な手順です。また、以下の手順は、いずれか 1 つのみでも、SQL Server を実行しているサーバーが、この特定のワームに感染することを防止します。これらの手順は、すべての SQL Server インストールに関するセキュリティの標準的な "推奨事例" です。
  • 認証モードが混在モード (Windows 認証と SQL Server 認証) である場合、NULL 以外のパスワードを使用して sa ログイン アカウントをセキュリティで保護します。このワームは sa ログイン アカウントがセキュリティで保護されていない場合のみに動作します。そのため、直接 sa アカウントを使用しない場合でも、SQL Server Books Online の「システム管理者 (sa) のログイン」に記載されている推奨事例に従って、組み込みの sa アカウントに強力なパスワードを割り当てることが最善です。セキュリティを強化するには、Windows 認証モード (Windows 認証のみ) を有効にして、sa ユーザーとしてログインできないようにします。Windows 認証を使用するようにクライアントを構成します。
  • 成功したログインおよび失敗したログインの監査を有効にします。その後、MSSQLServer サービスを停止して、再開します。
  • インターネット ゲートウェイでポート 1433 をブロックし、SQL Server が別のポートでリッスンするようにします。
  • インターネット ゲートウェイでポート 1433 を利用できるようにする必要がある場合、ポートの誤用を防止するために egress または ingress フィルタを有効にします。
    : ingress または egress フィルタの設定に関する詳細については、ネットワーク管理者またはファイアウォール ベンダに問い合わせてください。

  • ローカル管理アカウントではなく、標準の Microsoft Windows NT アカウントで SQL Server サービスおよび SQL Server エージェントを実行します。
既に問題が発生しているシステムで問題を回復する方法の詳細については、以下の Web サイトで CERT Coordination Center (英語) を参照してください。
Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Intruder Detection Checklist
http://www.cert.org/tech_tips/intruder_detection_checklist.html
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。
詳細
重要 : この侵入が実行可能になるのは、SQL Server の問題ではなく、セキュリティで保護されていないシステムが原因で発生する脆弱性によるものです。

以下のファイルは、ワームが存在することを示します。
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
また、次のレジストリ キーは、このワームが存在することを示します。
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
以下のレジストリ キーは SQL Server の既存のキーです。ワームは、TCP/IP ネットワーク ライブラリを使用して、コンピュータへのアクセスを制御するのに、これらのキーを使用します。
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
ワームは、xp_cmdshell 拡張ストアド プロシージャを使用します。このストアド プロシージャを使用すると、ワームは、SQL Server サービスを実行しているアカウントが実行するアクセス許可を持つ、任意のオペレーティング システムのコマンドを実行できます。

以下のマイクロソフト Web サイトでは、SQL Server サーバーをセキュリティで保護する方法についての詳細を説明しています。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 313418 (最終更新日 2003-08-06) を基に作成したものです。
virus antivirus scanner logon login
プロパティ

文書番号:313418 - 最終更新日: 09/24/2003 20:37:39 - リビジョン: 4.1

  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
  • kbprb KB313418
フィードバック