SQL Slammer es un gusano informático que provocó una Denegación de servicio en algunos servidores de Internet
e hizo dramáticamente más lento el tráfico de Internet en general, a
partir de las 05:30 GMT del 25 de enero de 2003. Se extendió
rápidamente, infectando a la mayoría de sus 75.000 víctimas dentro de
los diez minutos. Llamado así por Christopher J. Rouland, director de
tecnología de la ISS, Slammer primero fue traído a la atención del público por Michael Bacarella (ver notas abajo). Aunque titulado "gusano SQL Slammer", el programa no utilizó el lenguaje SQL; se aprovechó de un error de desbordamiento de buffer en los productos de motor de base de datos de Microsoft SQL Server y los productos Microsoft SQL Server Data Engine,
para el cual se había lanzado un parche seis meses antes en MS02-039.
Otros nombres incluyen W32.SQLExp.Worm, DDOS.SQLP1434.A, el gusano
Sapphire, SQL_HEL, W32/SQLSlammer y Helkern.
El gusano se basa en pruebas de concepto mostrado en las Black Hat Briefings organizadas por David Litchfield, quien inicialmente había descubierto la vulnerabilidad de desbordamiento de búfer que el gusano explotaba.2 Se trata de un pequeño trozo de código que hace poco más que generar al azar direcciones IP
y enviarse a sí mismo a esas direcciones. Si una dirección seleccionada
pasa a pertenecer a un host que ejecuta una copia sin parches de
servicio de resolución de Microsoft SQL Server escucha en el puerto UDP
1434, el anfitrión inmediatamente se infecta y empieza a rociar la
Internet con más copias del programa de gusano.
Los PCs del hogar en general no son vulnerables a este gusano a menos que hayan instalado MSDE.
El gusano es tan pequeña que no contiene código para escribir en el
disco en sí, por lo que sólo permanece en la memoria, y es fácil de
eliminar. Por ejemplo, Symantec
ofrece una herramienta gratuita de eliminación (ver enlace externo
abajo), o incluso puede ser eliminado reiniciando SQL Server (aunque la
máquina es probable que se infecta de nuevo inmediatamente).
El gusano fue posible gracias a una vulnerabilidad de seguridad en el
software de SQL Server reportado por primera vez por Microsoft el 24 de
julio de 2002. Un parche había estado disponible desde Microsoft
durante seis meses antes del lanzamiento del gusano, pero muchas
instalaciones no habían sido parchadas - incluyendo muchas en Microsoft.
La ralentización fue causada por el colapso de numerosos routers
bajo el bombardeo con muy alto tráfico desde los servidores infectados.
Normalmente, cuando el tráfico es demasiado alto para que los routers
lo manejen, se supone que los routers demoran o detienen temporalmente
el tráfico de red. En cambio, algunos routers fallaron (se convirtieron
en inservibles), y los routers "vecinos" se dieron cuenta de que estos
routers se habían detenido y no debían ser contactados (también conocido
como "eliminados de la tabla de enrutamiento").
Así, estos routers comenzaron a enviar avisos a estos efectos a otros
routers cercanos de lo que sabían. La avalancha de avisos de
actualización de tabla de enrutamiento causó que algunos routers
adicionales fallaran, lo que agravó el problema. Eventualmente los
operadores de los routers fallados los reiniciaron, causando nuevas olas
de actualizaciones de la tabla de enrutamiento. Pronto una parte
significativa del ancho de banda de Internet se consumió por los routers
que se comunicaban entre sí para actualizar sus tablas de enrutamiento,
y el tráfico de datos ordinario se ralentizó o en algunos casos se
detuvo por completo. Irónicamente, debido a que el gusano SQL Slammer
era tan pequeño en tamaño, a veces era capaz de pasar a través aún
cuando el tráfico legítimo no lo lograba. Dos aspectos claves
contribuyeron a la rápida propagación del SQL Slammer. El gusano
infectaba nuevos huéspedes a través del protocolo sin sesión UDP, y todo
el gusano (sólo 376 bytes) cabe dentro de un solo paquete.3 4
Como resultado, cada host infectado podía simplemente "disparar y
olvidar" los paquetes con la mayor rapidez posible (generalmente cientos
por segundo).
No hay comentarios:
Publicar un comentario