Slammer

SLAMMER, gusano abstracto infecta servidores SQL de Windows 2000, provoca Negación de Servicio.

W32/SQL.Slammer, SQLP1434, W32/SQL.Elkern

Slammer no es un gusano o virus contenido en un archivo. Es un código lógico reportado el 25 de Enero del 2003 que ejecutado en memoria dinámica aprovecha una vulnerabilidad del MS SQL Server provocando una Negación de Servicio (DoS) por saturación.

Desarrollado en código binario, con 376 bytes infecta exclusivamente a los servidores Windows 2000 que tengan instalado el SQL Server, a través del puerto 1434/UDP, correspondiente al Microsoft-SQL-Monitor.

Intentaremos dar una breve explicación:

Un puerto UDP (User Datagram Protocol) es una codificación abstracta de software, no es física como la que controla o direcciona a un puerto USB, por ejemplo. En los protocolos TCP/IP de Internet los sistemas contienen un conjunto de puntos abstractos de destino, cada uno de ellos identificado por un número entero positivo.

El protocolo TCP/IP emplea uno o más puntos para diferenciarlos entre un sinnúmero de procesos de destino, dentro de un servidor. Algo similar al anexo o extensión de una central telefónica. Los servicios de conectividad orientados, tales como el de correo electrónico, usan el protocolo TCP para establecer la conexión específica dentro de los servidores, mientras que otras aplicaciones y servicios pueden hacer uso del protocolo de puertos UDP para transportar los mensajes entre los sistemas.

En este caso, el código no es guardado como un archivo en el disco, sino que a través del puerto 1434/UDP, es posicionado en memoria dinámica y se integra al propio sistema. Una vez que ha infectado un servidor empieza a generar envíos masivos de paquetes, en forma aleatoria a direcciones IP, en forma infinita (loop), con el objetivo de saturar servidores y ruteadores, logrando volver muy lento el tráfico o hasta la Negación del Servicio.

Este gusano abstracto, no envía mensajes de correo ni infecta los sistemas de los usuarios finales, quienes tan solo notarán, en el mejor de los casos, una lentitud en los servicios de Internet, hasta que se provoque el "bloqueo" del servidor.

El código de este gusano, en un sistema infectado, contiene las siguientes cadenas:

kernel32.dll
GetTickCount
ws2_32.dll
socket
sendto

Únicamente se propaga como un proceso en memoria dinámica, con un accionar muy parecido al CodeRed, que en Julio del 2001 amenazó a la Casa Blanca, del gobierno de los Estados Unidos.

La manera más simple de evitar su ataque, consiste en bloquear el acceso al puerto 1434/UDP en el Firewall físico (hardware) o lógico (software), luego re-iniciar el sistema e instalar inmediatamente los parches SP2 y SP3 del MS SQL Server.

Conexión normal

Ejemplo de una conexión normal a un servidor web.

Ataque de DoS (Denial of Service)

Ejemplo de un ataque "DoS" a un servidor web.

Proceso de bloqueo por "filtrado"

Ejemplo de un "filtrado" al atacante.

A través de su Boletín de seguridad MS02-039, publicado el 24 de Julio del 2002, Microsoft Corporation colocó en su Portal, un parche de seguridad adicional al que previamente fuese publicado en su Boletín MS02-034 del 10 de Julio del 2002 para su servidor SQL.

Servidores afectados:

Microsoft SQL Server 2000 todas las ediciones
Microsoft SQL Server Desktop Engine (MSDE) 2000

Los payloads de este gusano abstracto son los siguientes:

Se propaga vía un proceso de memoria dinámica a través del puerto 1434/UDP.
Auto-envía masivamente paquetes de información a direcciones IP en forma aleatoria e infinita.
Satura los servidores que tengan instalado el SQL de MS Windows 2000, sin los parches actualizados.
Ocasiona una Negación de Servicio o "bloqueo" en los servidores atacados.

Como autores de PER ANTIVIRUS® y expertos en Seguridad de Redes e Internet, recomendamos descargar a la brevedad posible el parche correspondiente, desde este sitio en la web:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp