Hall da Fama do Vírus: Vírus SQL Slammer

Tempo de leitura: 3 minutos

Qualquer lista de memoráveis Vírus informáticos teria que incluir o vírus SQL Slammer, lançado em 2003. Eu certamente me lembro disso. Na época, eu trabalhava com a TI da UPS e vários servidores falharam.

O nome do vírus é um pouco enganador porque não envolveu SQL, a Structured Query Language para sistemas de banco de dados. Ele explorou um problema de estouro de buffer no sistema de banco de dados SQL Server da Microsoft. Ele poderia não apenas derrubar o banco de dados, mas, em alguns casos, redes inteiras.

O vírus, na verdade um worm, era extremamente simples. Ele gerou endereços IP aleatórios e, em seguida, se enviou a esses endereços. Se o SQL Server Resolution Service, usado para oferecer suporte a várias instâncias do SQL Server em um único computador, o host é infectado. O Resolution Services opera uma porta UDP usada para enviar datagramas da Internet, pequenas mensagens que podem ser enviadas rapidamente. Muito rapidamente, como esse vírus provaria.

O vírus foi usado para causar uma falha no servidor de banco de dados de uma das seguintes maneiras. Isso poderia fazer com que partes da memória do sistema fossem sobrescritas com dados aleatórios que consumiriam toda a memória disponível do servidor. Ele também pode executar código no contexto de segurança do serviço SQL Server que pode derrubar o servidor.

Um terceiro uso do vírus foi para criar uma “negação de serviço”. Um invasor pode criar um endereço que pareça vir de um sistema SQL Server 2000 e, em seguida, o envie a um sistema SQL Server 2000 vizinho. Isso criou uma série interminável de troca de mensagens, consumindo recursos em ambos os sistemas e reduzindo o desempenho.

Poucos vírus causaram tanta perturbação pública tão rapidamente. De acordo com um estudo da Universidade de Indiana sobre o vírus e seu impacto, “A principal característica do worm é sua extraordinária taxa de propagação. Estima-se que ele atingiu seu nível total de infecção global da Internet dez minutos após o lançamento. No seu máximo (atingido no domingo, 26 de janeiro), aproximadamente 120,000 computadores individuais em todo o mundo foram infectados e esses computadores geraram um total de mais de 1 terabit / segundo de tráfego de infecção ”.

Eles estimaram que, no pico da infecção, 15% dos hosts da Internet estavam inacessíveis devido ao vírus.

Na Coreia do Sul, a maioria dos usuários não conseguiu acessar a Internet por cerca de 10 horas. Isso derrubou os caixas eletrônicos do Bank of America e causou interrupções no sistema 911 em Seattle. Isso derrubou a rede da Akamai, que operava os sites de empresas de alto perfil como a Ticketmaster e o MSNBC. A Continental Airlines teve que cancelar voos devido a problemas com seu sistema de emissão de bilhetes.

A boa notícia foi a remoção de vírus foi relativamente fácil de responder. Foi fácil limpar da memória e prevenir protegendo as portas afetadas por firewall. Na verdade, a Microsoft lançou um patch para vulnerabilidade de estouro um ano antes. Uma correção já estava disponível para download.

O que leva a uma parte interessante desta história. A origem do vírus para David Litchfield, um pesquisador, que identificou o problema e criou um programa de “prova de conceito”. Litchfield apresentou suas descobertas ao pessoal da Microsoft que, infelizmente, concordaram com sua apresentação e a prova de conceito na famosa conferência anual Black Hat. Presume-se que os criadores obtiveram o código e o conceito de sua apresentação.

Como a Microsoft poderia permitir que ele fizesse isso?

Eles aparentemente pensaram nisso como uma notícia velha. Eles tinham o patch lançado e estavam ocupados trabalhando na próxima versão, o SQL Server 2005.

É claro que o incidente acendeu um incêndio sob a retaguarda digital da Microsoft para focar na segurança do SQL Server 2005. Funcionou porque nada remotamente parecido com isso aconteceu com o SQL Server desde então.

COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE