ISS lancia lallarme potente virus attacca internet e blocca servizi on-line e telecomunicazioni

SicurezzaSoluzioni per la sicurezza

Dynamic Threat Protection contro Slammer

Il 25 gennaio, intorno alle ore 1200, Internet Security Systems ha rilevato ed individuato un nuovo virus Slammer, che si è rapidamente diffuso in Internet attraverso i server Microsoft SQL. Il virus ha bloccato la maggior parte del traffico in Internet ed un enorme numero di sonde UDP/IP, rendendo impossibile laccesso alla rete e ai servizi on-line. I più importanti Internet Service Provider, i servizi di banking on-line e di telecomunicazioni sono stati colpiti a livello mondiale. Una grave latenza nei servizi di dominio dei siti (DSN) li ha resi completamente irraggiungibili. Le nazioni colpite, ed in particolare linfrastruttura Internet della Sud Corea, hanno registrato un blocco. Questo virus si propaga, attraverso i server MS/SQL non protetti, e arriva al buffer overflow di servizio SQL Server Resolution (CVE CAN-2002-0649). Non appena un computer è danneggiato, il virus passerà ad infettare un altro obiettivo, selezionandolo in maniera casuale, inviando un nuovo attacco e propagando così il codice ad un altro host. Slammer sta causando seri rallentamenti del traffico in rete, dal momento che riesce ad individuare gli obiettivi vulnerabili miliardi di attacchi sono stati individuati, infatti, nelle ultime 12 ore dal Global Threat Operations Center (GTOC) di ISS. Lobiettivo principale di Slammer è quello di continuare a propagarsi attraverso tutte quelle installazioni di Microsoft SQL, che non sono state protette, come indicato dal Security Bulletin MS02-39 e dalle versioni precedenti rilasciate da Microsoft. Infatti, questo virus tenta di replicarsi senza compromettere i server o impedire gli accessi agli host, non modifica i file, ma si installa semplicemente nella memoria, senza essere rilevato dai programmi antivirus. Linfezione è removibile ricaricando il sistema operativo; tuttavia lassenza di protezione, fa sì che i server vengano velocemente infettati. Le versioni che possono essere attaccate da Slammer, se non adeguatamente protette, sono Microsoft SQL Server 2000 e Microsoft Desktop Engine (MSDE) 2000. Sono a rischio anche installazioni base o non protette delle versioni precedenti a SP3 sono a rischio. La piattaforma Dynamic Threat Protection di ISS ha protetto i clienti delle aziende grazie a RealSecure Network Sensor XPU 20.4 e XPU 5.3 (disponibile dal 17/9/2002) o versioni successive, e a Internet Scanner XPU 6.15 (disponibile dal 25/7/2002). X-Force di ISS consiglia agli amministratori di sistema di prendere immediatamente provvedimenti per proteggere le proprie reti. Per rimuovere linfezione, applicare le necessarie patche elencate di seguito e riavviare il server questo consentirà di rimuovere il virus dalla memoria. X-Force di ISS raccomanda, inoltre, di proteggere i database SQL Server con un firewall o filter packet, bloccando il traffico sulle porta 1433 UDP e 1434.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore