TREND MICRO AVVISA DELL´ATTACCO IN CORSO DI TIPO DDOS (DISTRIBUTED DENIAL OF SERVICE) : DDOS_SQLP1434.A, ALIAS: SQLP1434.A
Milano, 27 gennaio 2003 - Fattore di rischio: Medio Azione del virus: Denial of service (usando la porta 1434/udp) Descrizione: Questo tipo di attacco Ddos è rivolto a sistemi che usano Microsoft Sql Server 2000. La vulnerabilità permette di creare una condizione di blocco del servizio tra due servers Microsoft Sql. Questo Trojan Ddos usa un buffer overflow per attivare la vulnerabilità . Si presenta come un programma che richiede dei parametri. I parametri richiesti sono il nome server o indirizzo Ip, la porta e la versione del service pack di Sql. Usa una shellcode e comandi per attivare ed eseguire un indirizzo di ritorno al codice del Ddos Trojan. Quando avviene un attacco consumerà risorse del server e della rete con conseguente ripartenza del Sql Server, una ripartenza del server stesso o una caduta di rete. La versione 1 del Service Pack si è rivelata vulnerabile. Per maggiori informazioni sulla vulnerabilità, si può fare riferimento all´Url : http://www.Kb.cert.org/vuls/id/370308http://www.Microsoft.com/technet/security/bulletin/ms02-039.asp Raccomandazioni da Trend Micro: Applicare patches Questo malware sfrutta una vulnerabilà conosciuta in Microsoft Sql Server 2000. Vi invitiamo a scaricare ed installare il http://www.Microsoft.com/downloads/release.asp?releaseid=40602 Astenersi dall´utilizzare questo prodotto fino a che non siano state installate le patch di cui sopra. Block Udp porta 1434 Come soluzione temporanea, gli amministratori di sistema possono bloccare il protocollo Udp sulla porta 1434, cosi prevenendo attacchi esterni tesi a sfruttare questa vulnerabilità.