[SECURITY-L] Vírus está atacando servidores Microsoft SQL

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qui Maio 23 09:08:26 -03 2002 

Vírus está atacando servidores Microsoft SQL
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1022095167,50234,/

22/5/2002 - 16:19 Giordani Rodrigues

Os servidores Microsoft SQL estão sendo atacados por um worm que explora
vulnerabilidades neste sistema. O alerta foi dado por várias empresas de
segurança, que detectaram um grande aumento de atividade na porta 1433,
usada como padrão pelo Microsoft SQL Server.

A praga foi batizada de JS/SQL.Spida.B ou JS/SQL.Spider.B (pela Sophos). É
um javascript que descarrega vários componentes na máquina atingida e envia
informações do sistema - como senhas - para o endereço de e-mail
ixltd em postone.com. Segundo o site de segurança Hispasec, o endereço estava
tão sobrecarregado ontem que as mensagens enviadas a esta conta retornavam,
pois a cota máxima de espaço disponível tinha sido ultrapassada.

O JS/SQL.Spida.B tem sua ação facilitada principalmente por negligência de
administradores de sistemas. Servidores Microsoft SQL possuem uma conta
chamada SA (System Administrator) que vem instalada como padrão. A conta
possui privilégios de administrador e não precisa de senha para ser
acessada. Por isso, deveria ser desabilitada ou ter uma senha assinalada
para ela logo que o sistema é posto em uso, mas não é isso que acontece em
boa parte dos casos.

Aproveitando-se dessa brecha, o vírus gera endereços IP aleatoriamente e
busca os que estiverem com a porta 1433 aberta para entrar no sistema. Uma
vez que o servidor SQL é acessado, o vírus ativa o usuário "Guest" do
Windows NT, configura uma senha para a conta desse usuário, adiciona-o ao
grupo de administradores locais e, finalmente, ao grupo Domain Admins
(administradores de domínio).

Depois disso, o JS/SQL.Spida.B "escreve" códigos em vários arquivos para
comprometer o servidor e inicia a rotina de propagação. A infecção pode ser
notada pela presença dos seguintes arquivos:

sqlprocess.js
sqldir.js
sqlinstall.bat
sqlexec.js
run.js
clemail.exe (um programa legítimo usado para enviar por e-mail ao criador do
vírus as informações roubadas)
timer.dll
pwdump2.exe
samdump.dll
services.exe

Todos estes arquivos são descarregados na pasta system32 do Windows, com
exceção do arquivo services.exe, descarregado na pasta system32\drivers do
Windows.

A partir da infecção, um cracker pode ter acesso ao servidor e executar
variados comandos. Outra ação do vírus, segundo a Trend Micro, é trocar as
senhas do banco de dados, o que impede que os usuários autorizados acessem
as informações.

O servidor SQL é um sistema de banco de dados muito usado na Web. De acordo
com a Microsoft, 70% dos sites que rodam o sistema utilizam seu produto. Em
janeiro deste ano, a companhia divulgou um documento orientando os
administradores a se proteger da vulnerabilidade apresentada pela conta SA,
devido às atividades de um outro worm, surgido no final do ano passado e
batizado de Voyager Alpha Force. O documento pode ser encontrado aqui
(http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418).

As empresas antivírus ainda consideram o JS/SQL.Spida.B como de baixo risco,
porque poucos casos de infecção foram constatados até agora, mas admitem que
este risco pode passar a médio ou alto. A Trend Micro acredita que o vírus
tem alto potencial para gerar estragos semelhantes aos do Code Red, devido
às suas características.

Estatísticas divulgadas pela organização Incidents.org mostram que as
tentativas de acesso à porta 1433 multiplicaram-se dezenas de vezes nos
últimos dois dias, como se pode ver neste gráfico
(http://isc.incidents.org/port_details.html?port=1433&tarax=1). A empresa
brasileira de segurança Aris Telecom informa que estes números confirmam o
que seus técnicos e os fabricantes já vinham observando. "Parece que agora é
a vez dos SQL, qualquer que seja o ambiente, Microsoft SQL, MySQL, e
outros", afirma o diretor de tecnologia da Aris, Antonio Jayme Junior.

Segundo a empresa, as estatísticas revelaram que 80% dos sites escaneados
possuem a conta administrativa SA habilitada. A Aris alerta ainda para uma
vulnerabilidade encontrada em servidores Microsoft SQL Server 7.0 e 2000, a
qual permite a execução de comandos arbitrários com privilégios de
administrador do sistema. Em abril, a Microsoft disponibilizou uma correção
para o problema, a qual pode ser encontrada no boletim MS02-020
(http://www.microsoft.com/technet/security/bulletin/MS02-020.asp).

Mais detalhes sobre a lista de discussão SECURITY-L