Capa » Notícias

Perguntas e respostas sobre o vírus Slammer

Terça, 28 de janeiro de 2003, 08h27

VEJA TAMBÉM »Vírus reduz tráfego mundial na Internet »Vírus atingiu 5 das 13 máquinas por onde passa tráfego da Web »Vírus de Internet atinge mercado acionário da Coréia do Sul

A empresa antivírus britânica Sophos publicou ontem um guia de perguntas e respostas sobre o Slammer, o worm descoberto no último sábado e que tem provocado grandes estragos na Internet, derrubando servidores e causando lentidão no trafégo de dados. Aproveitando a importância das informações na prevenção deste vírus, InfoGuerra traduziu, de forma livre, as questões apresentadas pela Sophos:

O que é SQLSlam, ou Slammer, ou Sapphire?
W32/SQLSlam-A é um worm (uma espécie de vírus de computador) de redes, que se espalha usando apenas a memória das máquinas. O worm infecta o espaço de processos do servidor Microsoft SQL 2000 ao explorar uma vulnerabilidade conhecida como buffer overflow. Isto permite que o W32/SQLSlam-A seja executado como parte do servidor SQL. Uma vez executado, o worm tenta enviar cópias de si mesmo do servidor para quantos sites na Internet conseguir, até que seja detido pelo encerramento do processo no servidor SQL. (Na verdade, o worm entra no que é conhecido como "loop infinito", de modo que ele nunca pára de se disseminar por conta própria.)

O que é um buffer overflow?
Buffer overflows são causados por bugs (falhas) em programas de computador. São explorados pelo envio de mais dados do que um programa espera obter. Se o programa não verificar esta situação, irá ler mais dados do que o espaço reservado em memória lhe permite. Então, os bytes extras podem sobrescrever partes da memória que o sistema operacional está usando para outros propósitos. Como uma analogia, imagine que lhe foi pedido para analisar dez páginas de um contrato e aprová-lo assinando cada página. Agora imagine que você verifica cuidadosamente as dez primeiras páginas, mas assina cegamente o rodapé de todas as páginas que lhe foram dadas. Se advogados inescrupulosos tiverem preparado 12 páginas em vez das dez que eles lhe pediram para analisar, você pode ter concordado com mais cláusulas do que pretendia.

Por que o buffer overflow explorado pelo Slammer não foi corrigido?
O buffer overflow explorado pelo Slammer foi corrigido há seis meses. A vulnerabilidade foi abordada pela Microsoft em julho de 2002.

Se você é um usuário do SQL Server 2000, provavelmente investiu bastante tempo e dinheiro, tanto em hardware quanto em software, e provavelmente está usando seu servidor SQL para guardar e acessar informações importantes para sua companhia. Então, você tem um compromisso consigo mesmo, com sua empresa e com seus clientes, de se manter informado sobre brechas de segurança e seus respectivos patches (correções). É especialmente importante ficar atento aos patches para o sistema operacional em si e para os softwares que você usa para fornecer serviços online através de sua rede.

Por que as pessoas conseguem conectar-se ao meu servidor SQL a partir da Internet?
Esta é uma pergunta muito boa para você fazer a si mesmo.

Na prática, há poucos casos em que os servidores SQL precisam ser acessados diretamente da Internet. Poucos servidores SQL orientados à Internet enviam dados diretamente a usuários finais fora de sua companhia. A maioria envia os dados a um servidor Web, que converte os dados brutos em páginas HTML e as entrega a um usuário externo.

O servidor Microsoft SQL 2000 usa duas portas, 1433 e 1434. Provavelmente você deveria bloquear estas portas (para tráfego de entrada e saída) em seu roteador Internet ou firewall. De fato, você deveria bloquear tudo, exceto o tráfego que explicitamente decidiu liberar.

Por que os programas antivírus não conseguem impedir que o Slammer se instale na memória?

O worm Slammer chega como um pacote de requisições de um servidor SQL. Ele se instala na memória porque seu servidor SQL o lê dentro de seu próprio espaço de memória de modo inteiramente proposital. Você precisa bloquear o pacote maléfico antes que ele passe para o servidor SQL. Se você tem um firewall para inspeção de pacotes, provavelmente você poderá fazer isso - mas uma solução muito mais efetiva será bloquear todos os pacotes que tenham como objetivo a porta 1434, já que pacotes externos à sua empresa provavelmente são desnecessários. (Um número muito grande de pacotes SQL vindos do exterior de fato irá se transformar em algo maléfico.)

O que eu faço para me livrar do Slammer?
O Slammer não salva uma cópia de si mesmo no disco rígido, portanto terminar e reiniciar os processos do servidor SQL (ou melhor ainda, reiniciar seu servidor) irá desinfectá-lo. Mas certifique-se de aplicar o patch em seu servidor SQL antes de reiniciá-lo, ou você corre o risco de reinfecção. Atualize as regras de seu roteador ou firewall ao mesmo tempo.

Por que não há um remédio "mágico" para desinfectar e corrigir meu servidor sem esforço?
Quando o Slammer infecta seu servidor, ele sobrescreve a memória que pertence ao processo SQL. O worm então toma o controle de uma thread (sequência de comandos) dentro deste processo e entra em loop infinito. Você não consegue restaurar a imagem da memória de seu servidor SQL para um momento anterior à infecção, então deve considerar o processo SQL como inseguro. (Você poderia limpar o worm da memória para impedi-lo de se disseminar, mas a thread da qual ele tomou controle iria permanecer em loop infinito. Você poderia limpar o worm da memória para forçá-lo a terminar a thread que ele está executando, mas isto ainda deixaria o processo SQL em um estado "não natural". Você pode até ter múltiplas instâncias do worm, cada uma com sua própria thread "fora de controle".)

Para eliminar qualquer instância do worm que esteja sendo executada e restaurar o sistema a um estado seguro, você precisa terminar o processo no qual o worm está rodando. Isto significa desligar seu servidor e ligá-lo novamente com o controle adequado de todas as suas próprias threads.

O que acontece se eu não fizer nada?
Se você estiver infectado com o Slammer, estará anunciando este fato na Internet. Pacotes serão observados fluindo livremente de seu servidor SQL para a porta 1434 dentro de uma larga faixa de endereços IP gerados aleatoriamente. Isto indica que seu servidor já foi comprometido.

Agora considere que o Slammer é quase que certamente derivado de um exploit (conjunto de códigos para explorar vulnerabilidades) publicado e documentado por um grupo hacker chinês. Este exploit penetra em seu servidor SQL, inicia um prompt de comando e dá o controle sobre este prompt de comando a um atacante remoto. Qualquer um que perceba que o seu servidor está infectado pode facilmente e de modo imediato tomar controle completo de sua máquina. (Da mesma forma que o servidor SQL roda com privilégios de sistema, o prompt de comando do "exploit chinês" também o faz. Isto significa que o seu atacante tem privilégios de administrador em seu servidor.)

Além do risco óbvio para o seu servidor, permitir-se ficar infectado com o Slammer é uma demonstração de má cidadania na Internet. Servidores infectados podem gerar um alto volume de tráfego de saída, o qual deverá ser transmitido integralmente através de redes alheias.

Por que eu não fiquei sabendo desses riscos com antecedência?

Uma vez mais, a prevenção é a melhor arma. A Microsoft opera uma lista de segurança para avisá-lo sobre vulnerabilidades e correções de seus produtos. Muitos outros fabricantes fazem o mesmo, bem como a comunidade open source. Por que não fazer sua assinatura hoje?

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2002. Todos os direitos reservados.