DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 313418 - Última revisão: sexta-feira, 27 de Julho de 2007 - Revisão: 7.5

 

Sintomas

Um worm, com o nome de código "Voyager alfa Force," que tira partido do SQL Server em branco ( sa ) do administrador de sistema palavras-passe foi encontrada na Internet. O worm procura um servidor que está a executar o SQL Server através da pesquisa para a porta 1433. A porta 1433 é a porta de predefinida do SQL Server. Se o worm encontrar um servidor, tenta iniciar sessão instância predefinida do que o SQL Server com uma palavra-passe (NULL) sa em branco.

Se o início de sessão for bem sucedido, é difunde o endereço do SQL Server não protegido num canal Internet Relay Chat (IRC) e, em seguida, tenta carregar e executar um ficheiro executável de um site FTP em Filipinas. Iniciar sessão no SQL Server como sa fornece ao utilizador acesso administrativo ao computador e consoante o seu ambiente específico, possivelmente aceder a outros computadores.

Como contornar

Cada um dos passos nesta secção irá ajudar a proteger o sistema em geral, e qualquer um deles apenas impede este worm específico infecte o servidor com o SQL Server. Note que estes passos são parte a segurança padrão "procedimentos recomendados" para qualquer instalação do SQL Server.
  • Se o modo de autenticação de modo misto (Windows autenticação e do SQL Server), proteger a conta de início de sessão sa com uma palavra-passe não NULL. O worm só funciona se tiver sem segurança para a conta de início de sessão sa . Por conseguinte, recomenda-se a seguir a recomendação do tópico "Administrador de sistema (SA, Security ASSOCIATION) login" no SQL Server Books Online para garantir que a conta sa incorporada tem uma palavra-passe forte, mesmo que nunca directamente utilize a conta sa manualmente. Para uma maior segurança, activar modo de autenticação do Windows (apenas autenticação do Windows), assim, remover a possibilidade de que ninguém inicie sessão como utilizador de sa . Configure os clientes para utilizar a autenticação do Windows.
  • Activar a auditoria para inícios de sessão falhados e com êxito e, em seguida, pare e reinicie o serviço MSSQLServer.
  • Bloqueie a porta 1433 nos gateways da Internet e atribuir o SQL Server para escutar uma porta alternativa.
  • Se a porta 1433 deve estar disponível os gateways da Internet, Activar filtragem para evitar utilização indevida entrar saída/entrada de uma porta este. NOTA: contacte o administrador de rede ou o fornecedor da firewall para mais informações sobre como configurar a filtragem de entrar de entrada/saída.

  • Execute o serviço SQLServer e SQL Server Agent sob uma conta normal do Microsoft Windows NT, não uma conta administrativa local.
Para obter informações sobre como recuperar um sistema já comprometido, visite o independentes CERT Coordination Center no seguinte Web site:
"Passos para recuperar de um UNIX ou NT risco"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html (http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)

"Lista de verificação do intruso detecção"
http://www.cert.org/archive/pdf/WIDC.pdf (http://www.cert.org/archive/pdf/widc.pdf)
Microsoft fornece informações de contactos outros fabricantes para ajudar a encontrar suporte técnico. Poderá ser alterado estas informações de contacto sem aviso prévio. Microsoft não garante a precisão destas informações de contacto outros fabricantes.

Mais Informação

importante : não existe nenhum erro no SQL Server que permite que este Penetração; é uma vulnerabilidade que é criada por um sistema não seguro.

Os seguintes ficheiros indicarem a presença do worm:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
Além disso, o aspecto da seguinte chave de registo indica a presença deste worm:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
As seguintes chaves de registo são as chaves existentes para o SQL Server e são utilizados pelo worm para controlar o acesso ao computador utilizando a biblioteca de rede TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
O worm utiliza xp_cmdshell expandido o procedimento armazenado, permitindo que o worm executar qualquer comando de sistema operativo que a conta a executar o serviço SQL Server tem permissão para executar.

Para obter mais informações sobre como ajudar a proteger um servidor de SQL Server, visite os seguintes Web sites da Microsoft:
http://www.microsoft.com/sql/technologies/security/default.mspx (http://www.microsoft.com/sql/technologies/security/default.mspx)

http://technet.microsoft.com/en-us/library/bb545450.aspx (http://technet.microsoft.com/en-us/library/bb545450.aspx)

A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
Palavras-chave: 
kbmt kbprb KB313418 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 313418  (http://support.microsoft.com/kb/313418/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft