|
Novo worm explora MySQL em Windows |
|
|
-
Categoria: Alertas
-
quarta, 02 fevereiro 2005 15:35
| Sistemas Operativos Implicados: | Windows XP/NT/2K/Me/98/95 |
| Aplicações Implicadas: | MySQL |
Existe um novo worm explorando MySQL em sistemas Windows. O worm infecta sistemas utilizando um ataque automatizado a passwords "fracas" para a conta de "root" do MySQL.
I. Sumário
Existe um novo worm explorando MySQL em sistemas Windows. O worm infecta sistemas utilizando um ataque automatizado a passwords "fracas" para a conta de "root" do MySQL.
Administradores de MySQL são encorajados a aplicar os passos de mitigação abaixo mencionados tão cedo quanto possível para evitar infecção.
Sistemas não-Windows não são visados por este worm, mas são vulneráveis ao mesmo ataque se o MySQL estiver a correr como "root".
II. Detalhes
O worm instala um trojan executável (spoolcll.exe) na directoria System32. Spoolcll.exe é instalado como um novo serviço "Event Monitor".
Spoolcll.exe liga a um de vários servidores de IRC para receber instruções sobre mais alguma acção a executar. Também despoleta 3 portos à escuta, que se observaram ser o UDP 69, TCP 2314 e TCP 2311, embora estes portos possam variar.
O trojan pode ser comandado para lançar ataques distribuídos de negação de serviço, controlar remotamente um sistema infectado, sondar blocos de endereços IP e infectar outros sistemas vulneráveis.
O executável malicioso instalado por este worm é detectado por vários produtos anti-virus como uma variante do Wootbot.
III. Mitigação
o Modificar a password da conta de root do MySQL, de forma a torná-la mais "forte".
o Configurar o MySQL para apenas aceitar ligações de "root" a partir do sistema local.
Estes dois passos podem ser implementados utilizando o MySQL 4.1 Server Instance Configuration Wizard. Em "Modify Security Settings", deve introduzir-se uma password forte e escolher "Root may only connect from localhost".
o Correr o MySQL com utilizador sem privilégios. Isto é possível em Windows com MySQL 4.0.17 e superiores, e MySQL 4.1.2 e superiores.
o Bloquear ligações provenientes da internet para o MySQL instalando uma regra de firewall que bloqueie o tráfego de entrada ao porto 3306.
IV. Referências
Fonte do Alerta: AUSCERT -
http://www.auscert.org.au/render.html?it=4772
SANS Handler"s Diary January 27 2005 -
http://isc.sans.org/diary.php?date=2005-01-27