Un worm all’attacco di SQL Server
SQL Server e Msde 2000 sono in grado di gestire istanze multiple su una singola macchina; ogni istanza agisce come se fosse un servizio separato. Solo l’istanza di default utilizza la porta 1433/Tcp, standard per le sessioni Sql Server; le altre ascoltano le porte loro assegnate. Il servizio Sql Server Resolution, che opera sulla porta 1434/Udp, mette in grado i client di selezionare i socket corrispondenti alle particolari istanze di Sql Server.
Proprio quest’ultimo servizio presta il fianco a tre diversi tipi di vulnerabilità: le prime due lo espongono a sovrascrittura della memoria (stack e heap), con possibilità di esecuzione di codice nell’area di memoria destinata al servizio, e una terza che lo espone ad un attacco di tipo denial of service. Sql Server, infatti, usa un meccanismo per distinguere le istanze in esecuzione da quelle non in esecuzione; è possibile creare un pacchetto keep-alive che, inviato al servizio Resolution, causa la risposta di Sql Server.
Se il pacchetto presenta lo spoofing dell’indirizzo di provenienza, così da apparire generato da un sistema Sql Server 2000, la macchina bersaglio lo diffonde alle proprie connessioni di rete innescando un circolo vizioso che consuma risorse sui sistemi colpiti e, alla lunga, genera una condizione di denial of service. Il worm invia 376 byte alla porta 1434/Udp; se il bersaglio è privo della patch descritta nel bollettino Microsoft MS02-039 (successivamente superato dal bollettino MS02-061), Slammer inizia la propria azione causando il buffer overflow sopra descritto, operando con gli stessi privilegi del servizio attaccato.
Su una macchina compromessa, Slammer usa l’Api di Windows GetTickCount per generare un indirizzo Ip casuale, cui inviare i pacchetti maligni con lo scopo di creare un denial of service. Il worm si propaga autoinviandosi sulla porta 1434, da una porta locale casuale. Non eseguendo un attacco selettivo, Slammer è in grado di generare un traffico di pacchetti elevato; pur non avendo un payload distruttivo, questo worm è riuscito a creare una notevole situazione di ritardo e di disservizio.
Microsoft ha predisposto rapidamente un advisory su Slammer, e ha modificato opportunamente i bollettini MS02-039 e MS02-061. È prevista una nuova patch che include le funzionalità esposte in MS02-061 e la hotfix descritta nell’articolo Q317748, cui il bollettino stesso ha fatto seguito. I sistemi aggiornati con questi due componenti sono immuni da Slammer.
La patch descritta in MS02-061 è compresa in Sql Server 2000 Service Pack 3 e sovrascrive le librerie ssmslpcn.dll e dbmslcpn.dll¸ aggiornandole alla versione 8.00.568. Se si decide di non installare la patch, Microsoft suggerisce di bloccare con politiche di firewalling la porta 1434/Udp ed il traffico in entrata sulla stessa porta, direttamente su SQL Server 2000. Slammer, in sé, non è un worm la cui azione possa definirsi catastrofica; eppure, è riuscito a causare un numero di infezioni davvero rilevante, con una distribuzione geografica molto ampia: Symantec ha parlato di un’infezione simultanea di 22.000 sistemi, mentre News.com ha riportato 120.000 macchine infette in meno di due giorni.
La zona maggiormente colpita è stata l’Asia: secondo l’agenzia di stampa Reuters, in Corea del Sud (Paese in cui l’accesso a larga banda è molto diffuso) si è registrato un calo delle transazioni online di Borsa pari al 50%. L’ipotesi, avanzata dalla polizia coreana, che il worm provenisse da Hong Kong non ha per il momento trovato conferma.
Gli Stati Uniti sono stati anch’essi colpiti abbastanza duramente; ad esempio, più di diecimila sportelli automatici di Bank of America hanno accusato malfunzionamenti o situazioni di temporanea indisponibilità e l’agenzia di stampa Associated Press ha interrotto per qualche ora i propri servizi.
Microsoft stessa non è rimasta immune dall’azione di Slammer, non avendo installato su alcuni propri server le patch opportune: un brutto colpo per l’immagine dell’azienda di Redmond e l’ennesima dimostrazione di quanto sia difficile - per non dire impossibile - star dietro al flusso inarrestabile delle patch di sicurezza.
In Italia, le Poste sono state a quanto pare la vittima principale. Quattro giorni dopo la sua entrata in circolazione, il worm, infatti ha aggredito i server delle Poste Italiane, bloccando il funzionamento del servizio bancomat di 14.000 uffici postali.
Ancora nessun commento.