SQL Slammer - SQL Slammer

SQL Slammer est un ver informatique de 2003 qui a causé un déni de service sur certains hôtes Internet et considérablement ralenti le trafic Internet général . Il s'est propagé rapidement, infectant la plupart de ses 75 000 victimes en dix minutes.

Le programme a exploité un bogue de débordement de tampon dans les produits de base de données SQL Server et Desktop Engine de Microsoft . Bien que le correctif MS02-039 ait été publié six mois plus tôt, de nombreuses organisations ne l'avaient pas encore appliqué.

Détails techniques

Le ver était basé sur un code de preuve de concept démontré lors des Black Hat Briefings par David Litchfield , qui avait initialement découvert la vulnérabilité de débordement de tampon exploitée par le ver. C'est un petit morceau de code qui ne fait que générer des adresses IP aléatoires et s'envoyer à ces adresses. Si une adresse sélectionnée appartient à un hôte qui exécute une copie non corrigée du service de résolution Microsoft SQL Server à l' écoute sur le port UDP 1434, l'hôte est immédiatement infecté et commence à pulvériser sur Internet d'autres copies du ver.

Les ordinateurs personnels ne sont généralement pas vulnérables à ce ver, à moins que MSDE ne soit installé. Le ver est si petit qu'il ne contient pas de code pour s'écrire sur le disque, il ne reste donc qu'en mémoire et il est facile à supprimer. Par exemple, Symantec fournit un utilitaire de suppression gratuit, ou il peut même être supprimé en redémarrant SQL Server (bien que la machine soit probablement réinfectée immédiatement).

Le ver a été rendu possible par une vulnérabilité de sécurité logicielle dans SQL Server signalée pour la première fois par Microsoft le 24 juillet 2002. Un correctif était disponible auprès de Microsoft depuis six mois avant le lancement du ver, mais de nombreuses installations n'avaient pas été corrigées, notamment chez Microsoft. .

Le ver a commencé à être remarqué tôt le 25 janvier 2003, car il ralentissait les systèmes du monde entier. Le ralentissement a été causé par l'effondrement de nombreux routeurs sous le poids d'un trafic de bombardement extrêmement élevé provenant de serveurs infectés. Normalement, lorsque le trafic est trop élevé pour être géré par les routeurs, les routeurs sont censés retarder ou arrêter temporairement le trafic réseau. Au lieu de cela, certains routeurs se sont écrasés (devenus inutilisables) et les routeurs "voisins" remarqueraient que ces routeurs s'étaient arrêtés et ne devaient pas être contactés (alias "supprimés de la table de routage "). Les routeurs ont commencé à envoyer des notifications à cet effet à d'autres routeurs qu'ils connaissaient. Le flot d'avis de mise à jour de la table de routage a provoqué l'échec de certains routeurs supplémentaires, ce qui a aggravé le problème. Finalement, les mainteneurs des routeurs en panne les ont redémarrés, les obligeant à annoncer leur statut, conduisant à une autre vague de mises à jour des tables de routage. Bientôt, une partie importante de la bande passante Internet a été consommée par les routeurs communiquant entre eux pour mettre à jour leurs tables de routage, et le trafic de données ordinaire a ralenti ou, dans certains cas, s'est complètement arrêté. Étant donné que le ver SQL Slammer était de si petite taille, il était parfois capable de passer alors que le trafic légitime ne l'était pas.

Deux aspects clés ont contribué à la propagation rapide de SQL Slammer. Le ver a infecté de nouveaux hôtes via le protocole UDP sans session , et le ver entier (seulement 376 octets) tient dans un seul paquet. En conséquence, chaque hôte infecté pourrait simplement « tirer et oublier » des paquets aussi rapidement que possible.

Remarques

Les références

Liens externes

Nouvelles
Annonce
Une analyse
  • Dans le magazine Slammer Worm IEEE Security and Privacy, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford et Nicholas Weaver
Détails techniques