Canais
| Novo worm explora MySQL em Windows |
 |
 |
- Categoria: Alertas
- quarta, 02 fevereiro 2005 15:35
| Sistemas Operativos Implicados: | Windows XP/NT/2K/Me/98/95 |
| Aplicações Implicadas: | MySQL |
Existe um novo worm explorando MySQL em sistemas Windows. O worm infecta sistemas utilizando um ataque automatizado a passwords "fracas" para a conta de "root" do MySQL.
I. Sumário
Existe um novo worm explorando MySQL em sistemas Windows. O worm infecta sistemas utilizando um ataque automatizado a passwords "fracas" para a conta de "root" do MySQL.
Administradores de MySQL são encorajados a aplicar os passos de mitigação abaixo mencionados tão cedo quanto possível para evitar infecção.
Sistemas não-Windows não são visados por este worm, mas são vulneráveis ao mesmo ataque se o MySQL estiver a correr como "root".
II. Detalhes
O worm instala um trojan executável (spoolcll.exe) na directoria System32. Spoolcll.exe é instalado como um novo serviço "Event Monitor".
Spoolcll.exe liga a um de vários servidores de IRC para receber instruções sobre mais alguma acção a executar. Também despoleta 3 portos à escuta, que se observaram ser o UDP 69, TCP 2314 e TCP 2311, embora estes portos possam variar.
O trojan pode ser comandado para lançar ataques distribuídos de negação de serviço, controlar remotamente um sistema infectado, sondar blocos de endereços IP e infectar outros sistemas vulneráveis.
O executável malicioso instalado por este worm é detectado por vários produtos anti-virus como uma variante do Wootbot.
III. Mitigação
o Modificar a password da conta de root do MySQL, de forma a torná-la mais "forte".
o Configurar o MySQL para apenas aceitar ligações de "root" a partir do sistema local.
Estes dois passos podem ser implementados utilizando o MySQL 4.1 Server Instance Configuration Wizard. Em "Modify Security Settings", deve introduzir-se uma password forte e escolher "Root may only connect from localhost".
o Correr o MySQL com utilizador sem privilégios. Isto é possível em Windows com MySQL 4.0.17 e superiores, e MySQL 4.1.2 e superiores.
o Bloquear ligações provenientes da internet para o MySQL instalando uma regra de firewall que bloqueie o tráfego de entrada ao porto 3306.
IV. Referências
Fonte do Alerta: AUSCERT - http://www.auscert.org.au/render.html?it=4772
SANS Handler"s Diary January 27 2005 - http://isc.sans.org/diary.php?date=2005-01-27
Missão
O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.
Contactos
Av. do Brasil 101
1700-066 Lisboa
Portugal
Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)
Fax: +351 218472167
email:
pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7
Filiação
