Slammer ukazuje neschopnost adminů

Útok internetového červa Slammer, který napadal servery s nainstalovaným Microsoft SQL serverem, využíval půl roku staré chyby. To znamená, že část internetu nebyla přístupná jen kvůli laxnosti administrátorů, kteří neplní své povinnosti. Kvůli nim odnesli následný DoS útok i ti poctiví. O milionech uživatelů internetu nemluvě.
Sobotní ráno se změnilo v noční můru pro velké množství internetových profesionálů po celém světě. Hostingové firmy a mnohé další mohly jen přihlížet masivnímu útoku typu DoS – Denial od Service, který spočíval v přehlcení napadených serverů přemírou požadavků a jejich následným vyřazením z provozu. Obrana před DoS útoky je obecně velice obtížná a umí ji řešit pouze několik sofistikovaných firewallů.

Provedení útoku, jehož kořeny sahají do Asie, umožnila chyba v Microsoft SQL Serveru, na kterou upozorňoval Microsoft Security Bulletin MS02-039 z 24. července 2002. Tato chyba umožnila využít napadený SQL server ke generování velkého množství dat, kterými lze zahltit další servery umístěné na internetu. Opravy chyby byly k dispozici dlouho před útokem a pokud by tedy správci serverů, které nyní sloužily k šíření viru a blokování dalších serverů DoS útoky, nainstalovali dotyčné opravy, neměli by žurnalisté o čem psát.

Místo toho došlo k jednomu z největších útoků na internet, který připomněl řádění červa Code Red z léta roku 2001, který také využíval poměrně dlouho známé chyby. Výsledkem činnosti červa přezdívaného Slammer bylo odstavení internetových providerů v Jižní Koreji, znemožnění přístupů k serverům Bank of America a v neposlední řadě také zhroucení reklamního systému Adrenaline, jehož server byl sice chráněn bezpečnostními updaty, ale nezvládl DoS útok generovaný jeho směrem. Výsledkem bylo znepřístupnění serverů, které Adrenaline využívají včetně zpravodajských serverů iHNed či Živě. Celkem bylo postiženo více než čtvrt milionu serverů na celém světě.

Další zkoumání chování červa a chyby, které využívá, vyústilo v další nepříjemné zjištění. Dalším možným cílem útoku jsou totiž všechny počítače, na kterých je nainstalován Microsoft SQL 2000 Desktop Engine – součást MS SQL 2000 Serveru, která je obsažená v instalacích vývojářské verze MS Office, v nástroji MS Visual Studio.NET nebo MS AppCenter. Alarmující je, že pro MS AppCenter zatím neexistuje opravný balíček, takže jedinou ochranou je znepřístupnění portů 1433 a 1434, které červ používá pro své šíření a DoS útoky.

Je alarmující, že po kritické situaci po útoku červa Code Red se nezměnilo nic na práci administrátorů, kteří, zdá se, stále nejsou schopni plnit své základní povinnosti a instalovat bezpečnostní záplaty. Tento problém je uveden i mezi deseti nejzávažnějšími bezpečnostními riziky pro webowé servery, o kterých jsme psali minulý týden.

Microsoft po útoku zprovoznil informační stránky věnované červu Slammer a dal k dispozici i novou verzi opravy pro MS SQL server 2000 se Service Packem 2 s instalačním programem pro jednodušší aplikaci záplaty. Servery ošetřené Service Packem 3 vydaným 17. 1 2003 už tyto opravy obsahují.

Co je možná ještě horší, i když byl dopad aktivity tohoto červa na celou planetu zdrcující, samotný červ nevyvíjel žádnou destruktivní činnost. Nebylo to tedy nic proti tomu, co ještě může přijít. Data na SQL serverech jsou často cennější než jejich dočasná nedostupnost.

Diskuze (89) Další článek: Kasparov začíná další bitvu proti počítači

Témata článku: , , , , , , , , , , , ,