•Noticia

El Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica de Cataluña (esCERT-UPC) recomienda un conjunto de medidas para evitar el ataque del gusano informático SQL Slammer. Este gusano de rápidos movimientos, que desde el pasado sábado está ocasionando un ataque distribuido de denegación de servicio en la Red, infecta a todos los servidores de Microsoft SQL que no estén actualizados y los deja fuera de servicio.
En su propagación, el gusano utiliza el puerto 1434 UDP (SQL Server Resolution Service). Los sistemas infectados enviarán paquetes maliciosos a otras máquinas con SQL Servers causando la ralentización e incluso la caída de la red afectada.
Según ha podido saber esCERT-UPC, este gusano está causando graves problemas en la Red ya que cada máquina infectada puede llegar a generar un tráfico de 50 megabytes por segundo.
EsCERT-UPC ya conoce casos de empresas y entidades españolas que han bloqueado este puerto para evitar una infección masiva.
Para evitar la acción de este gusano se recomienda bloquear el puerto 1434 UDP y descargar e instalar el parche para Microsoft SQL Server: http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
El gusano aprovecha estas vulnerabilidades de desbordamiento de búfer (espacio de memoria reservado para almacenar información de entrada) existentes en SQL que fueron publicadas y corregidas con su correspondiente parche por Microsoft en julio de 2002.
Los servidores SQL que no instalarán el parche específico o el Service Pack 3, se infectarán al recibir el paquete UDP de 376 bytes (longitud del gusano).
Cuando Slammer llega a un sistema realiza las siguientes acciones:

- Abre un puerto aleatorio del sistema para reenviar el paquete que contiene al gusano a direcciones aleatorias.
- Utiliza una función API de Windows (GetTickCount) para generar direcciones IP a las que enviar dicho paquete.
- Estas direcciones generadas, a su vez, son utilizadas como destino del gusano.

Durante la infección el gusano sólo se mantiene activo en memoria y no se copia en ningún archivo lo que dificultará la detección de los antivirus.
A pesar de que este gusano no posee ninguna carga destructiva, su sistema de propagación puede ocasionar un grave daño en la Red, ya que provoca ataques masivos de denegación de servicios, y puede dejar fuera de servicio muchos sitios web y colapsar Internet.
Los síntomas visibles de Slammer son el aumento de tráfico por el puerto 1434 UDP y la ralentización e incluso el bloqueo del servidor infectado.

Sistemas comprometidos
Este gusano no compromete directamente al usuario final ya que no infecta a PC ya que sólo infecta a servidores SQL con sistema operativo Windows 2000 (Microsoft SQL Server 2000 y Microsoft SQL Server Desktop Engine (MSDE). Como el MSDE también se utiliza en Visual Studio .NET y Office XP Developer Edition, el gusano podría propagarse más allá de los servidores SQL.

Recomendaciones
Desde esCERT-UPC se recomienda:

- Como primera solución la instalación del último parche acumulativo para SQL que se encuentra en http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
- Se puede instalar también el SQL 2000 Service Pack 3 (http://www.microsoft.com/sql/downloads/2000/sp3.asp) aunque el departamento técnico de esCERT-UPC aconseja la primera solución al haberse detectado algunos problemas en la instalación de este Service Pack.
- Reiniciar el equipo para que la actualización sea efectiva.
- En caso de no poder aplicar el parche se aconseja bloquear el tráfico en el puerto UDP 1434 o bien en el firewall o en su defecto en los servidores SQL que se encuentran en servicio.
- Reiniciar el equipo para que la actualización sea efectiva.

Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica de Cataluña (esCERT-UPC)

2003-01-31