SQL Server-orm lever av lagrede prosedyrer

SANS og Microsoft advarer mot SQLSnake, en orm som utnytter lagrede prosedyrer i SQL Server og en ubeskyttet administratorkonto.

SANS Institute advarer at ormen SQLSnake nå sprer seg forholdsvis raskt, og oppfordrer alle som har ansvar for en SQL Server-installasjon å ta mottiltak.

Ormen utnytter to svakheter i SQL Server. Den første er såkalte "extended stored procedures", altså utvidede lagrede prosedyrer, der databaseverktøyet kan brukes til å kalle på funksjoner i lenkede bibliotek (DLL) utenfor databasen, for eksempel for å aksessere operativsystemet eller nettverket. SQL Server leveres med flere hundre av dem, og mange lager dessuten sine egne.

Et fellestrekk ved flere av dem som følger med standardutgaven ved installasjon, er at de ikke sjekker inndata godt nok, og er følgelig sårbare for oversvømte buffere.

Den andre svakheten er en standard administratorkonto, kjent som "SA", som i utgangspunktet ikke er passordbeskyttet, og som mange administratorer lar stå slik.

SQLSnake prøver å trenge seg inn i serveren gjennom port 1433. Lykkes dette, reproduserer den seg selv, og utnytter offeret til å angripe andre. Blant kjente skadevirkninger - analysearbeidet pågår fortsatt - er at passordlister sendes per e-post til adressen ixitd@postone.com.

Umiddelbare vernetiltak går blant annet ut på å blokkere all trafikk til port 1433 ved randen av lokalnettet, sørge for å passordbeskyttet SA-kontoen og installere fiksen oppgitt i Microsoft Security Bulletin MS02-020.

Nettstedet til SANS Institute har flere detaljer, og oppdaterer dem fortløpende.

Til toppen