W2 Serveur SQL Microsoft (MSSQL)

Date : Lundi 19 novembre 2007 @ 13:04:42 :: Sujet : TOP 20 des vulnérabilités Internet

• W2.1 Description
  
  Le serveur SQL Microsoft contient plusieurs sérieuses vulnérabilités qui permettent aux attaquants distants d'obtenir des informations sensibles, d'altérer le contenu de la base de données, de compromettre les serveurs SQL, et, dans certaines configurations, de compromettre les serveurs hôtes.
  

Les vulnérabilités MSSQL sont bien connues du public et perpétuellement sous attaques. Deux récents vers MSSQL en Mai 2002 et Janvier 2003 ont exploité plusieurs vulnérabilités connues de MSSQL. Les hôtes compromis par ces vers génèrent un niveau de trafic réseau dommageable quand ils recherchent d'autres hôtes vulnérables. Vous pouvez trouver une information complémentaire sur ces vers à


Vers SQLSnake/Spida (Mai 2002)

• http://isc.incidents.org/analysis.html?id=157
• http://www.eeye.com/html/Research/Advisories/AL20020522.html
• http://www.cert.org/incident_notes/IN-2002-04.html

Vers SQL-Slammer/SQL-Hell/Sapphire (Janvier 2003)

• http://isc.incidents.org/analysis.html?id=180
• http://www.nextgenss.com/advisories/mssql-udp.txt
• http://www.eeye.com/html/Research/Flash/AL20030125.html
• http://www.cert.org/advisories/CA-2003-04.html

Les ports 1433 et 1434 (ports par défaut Serveur MSSQL et Contrôle) ont aussi été régulièrement référencés comme deux des ports les plus fréquemment scannés par l’Internet Storm Center.

L'exploitation de la vulnérabilité SQLSnake dépend du compte administratif par défaut, ou compte « sa » (Administrateur Système), ne disposant pas de mot de passe. Pour toute configuration appropriée et défense d'un quelconque système, il est essentiel de s'assurer que l'ensemble des comptes système sont protégés par mot de passe, ou complètement désactivés s'ils ne sont pas utilisés. Vous pouvez trouver plus d'information concernant le paramétrage et la gestion des mots de passe du compte « sa » dans la documentation MSDN (Microsoft DeveloperNetwork) sous , Changer le login de l'Administrateur SQL Serveur aussi bien Vérifier et Changer le Mot de passe de l'Administrateur Système en utilisant MSDE. Le compte “sa” doit disposer d’un mot de passe complexe et difficile à deviner, même s’il n’est pas utilisé pour votre implémentation de SQL/MSDE.

Le code d'exploitation de la vulnérabilité SQL Slammer est basé sur un débordement de buffer(tampon) dans le Service de Résolution de SQL Serveur. Quand le vers envoie des paquets d'attaque forgés vers le port UDP 1434 des systèmes cibles vulnérables, ce débordement de buffer est amené à s'exercer et la sécurité de l'hôte est ainsi compromise. Si une machine fonctionne avec des services SQL qui sont sujets à ce débordement de buffer dans la pile et qu'il reçoit des paquets de cette nature, il en résultera d'ordinaire une compromission totale du serveur et de la sécurité du système. Le plus efficace des moyens de défense contre ces vers consiste en une mise à jour assidue, des exercices de configuration système proactifs, et une vérification du filtrage du port UDP 1434 sur les passerelles réseau.

Le "Desktop Engine" Microsoft 2000 Serveur (MSDE 2000) peut être considéré comme uneversion "lite" de Serveur SQL. Beaucoup de propriétaires de système ne réalisent même pas que MSDE fonctionne sur leurs systèmes et qu'ils disposent d'une version SQL Serveur installée. MSDE 2000 est installé en tant que composant des produits Microsoft suivants:

Il y a de plus beaucoup d'autres packages logiciels nécessitant l'utilisation du logiciel MSDE 2000.

Veuillez vous connecter sur http://www.SQLsecurity.com/forum/applicationslistgridall.aspx pour vérifier la mise à jour de la liste.

Ce logiciel utilisant MSDE en tant que moteur de base de données principal, est sujet aux même vulnérabilités que SQL/MSDE Serveur. MSDE 2000 peut être configuré de façons multiples et différentes pour être à l'écoute des clients. Il peut être configuré de façon à ce que les clients utilisent les "canaux nommés" (named pipes) sur une session NETBIOS (port TCP 139/445), les sockets avec les clients qui se connectent au port TCP 1433, ou les deux. Quelle que soit la méthode utilisée, SQL Serveur et MSDE écouteront toujours sur le port UDP 1434. Ce port est désigné comme port de contrôle. Les clients enverront un message à ce port pour découvrir dynamiquement comment le client pourrait se connecter au serveur.


Chaque fois que le simple paquet 0x02 lui est présenté, le moteur MSDE 2000 fournit des informations le concernant. D'autres paquets causent un débordement de buffer sans jamais devoir s'authentifier au serveur lui-même. Ce qui aggrave plus encore ces problèmes est que l'attaque est canalisée sur UDP. Si les processus MSDE 2000 fonctionne dans le contexte de sécurité d'un utilisateur de domaine ou du compte local SYSTÈME, l'exploitation avérée de ces failles de sécurité peut signifier la compromission totale du système cible.


Puisque SQL Slammer exploite un débordement de buffer sur le système cible, le suivi de "best practices" de mises à jours opportunes et une consciencieuse configuration système aide à atténuer cette menace. En téléchargeant et en utilisant des outils défensifs tels que le Kit de Mise à jour Critique SQL de Microsoft, on peut vérifier la vulnérabilité des systèmes locaux à cette faille, parcourir des domaines ou des réseaux entiers à la recherche de l'existence de systèmes vulnérables, et automatiquement mettre à jour les fichiers affectés avec le Kit de Mise à jour Critique SQL.

Vous trouverez le rapport et l'analyse sur incidents.org pour plus de détails sur le ver SQL/MSDE Slammer. Cette attaque particulière a affecté le Back bone Internet pendant quelques heures dans la matinée du 25 janvier 2003.

Cet article provient de SOS PC 33

L'URL pour cet article est : http://www.sospc33.com/article-w2-serveur-sql-microsoft-mssql-28.html