Червь SQL Slammer создал хаос в интернете

Банкоматы, интернет-каналы и даже серверы доменных имен не устояли против червя, который эксперты называют самым разрушительным со времен эпидемии Code Red

Червь SQL Slammer, атаковавший СУБД Microsoft, распространился в интернете в уикенд и привел к тому, что банкоматы перестали выдавать деньги, большая часть Южной Кореи оказалась в офлайне, а работа в интернете замедлилась. SQL Slammer использует баг, обнаруженный в Microsoft SQL Server в июле прошлого года. Хотя еще тогда был предложен патч, многие системные администраторы не установили его, оставив свои системы уязвимыми.

Результатом стал хаос.

Bank of America сообщает, что 13 тысяч его банкоматов отказались выдавать наличные деньги. Почти все заказчики крупнейшего ISP Южной Кореи KT Corp лишились связи. В Китае прекратилось обновление сайтов и существенно замедлился доступ к ним. Наконец, червь подточил серверы доменных имен. И все это из-за каких-то 376 байт кода: программа SQL Slammer чуть-чуть короче этого абзаца!

Антивирусная фирма F-Secure объясняет столь ужасные последствия тем, что червь генерирует большое количество сетевых пакетов, переполняя серверы и маршрутизаторы и замедляя сетевой трафик. «Из 13 корневых серверов доменных имен интернета атака вывела из строя целых пять», — говорится в предупреждении компании.

Код SQL Slammer загоняет Microsoft SQL Server в бесконечную петлю, продолжая посылать данные внешним компьютерам, что по существу означает атаку на отказ в обслуживании, утверждает F-Secure, сравнивая результат с влиянием вируса Code Red, который летом 2001 года привел к двукратному сокращению трафика в интернете.

Microsoft и антивирусные компании оценивают опасность как критическую по разрушительным результатам ее проявления, хотя и не считают, что данные на зараженных машинах могут пострадать. Червь не распространяется по e-mail и не опасен для большинства домашних пользователей, хотя, если на их ПК установлен Microsoft SQL Server 2000 Desktop Engine, который используется такими программами, как Visual Studio .Net и Office XP Developer Edition, они тоже уязвимы, предупредил главный стратег Microsoft по защите данных Скотт Чарни (Scott Charney).

Первые сообщения об атаках SQL Slammer появились ранним утром в субботу, после чего эпидемия прокатилась по многим странам, сообщает антивирусная фирма Messagelabs. В отличие от почтовых червей, SQL Slammer не записывает файлы на жесткий диск компьютера, а располагается в памяти. Это облегчает борьбу с ним — достаточно перезагрузить компьютер, — но в то же время затрудняет его обнаружение антивирусным ПО. А так как после перезагрузки компьютер снова подключается к интернету, он опять может подхватить инфекцию, если его не пропатчить.

Microsoft узнала об «интернет-атаке, вызвавшей существенное замедление трафика во всем мире», спустя несколько часов после ее начала. Назвав выпуск червя преступным актом, компания сообщила, что она «непрерывно работает над тем, чтобы обеспечить защиту наших пострадавших заказчиков». Но, хотя руководители Microsoft призывают компании загружать патчи, в разгар атаки сделать это было не так просто. USA Today приводит слова представителя Microsoft Рика Миллера (Rick Miller), подтвердившего, что затор в интернете мешал администраторам загрузить патч. «Такой же затор практически полностью перекрыл потребителям доступ к разделам сайта Microsoft, посвященным антипиратским функциям ее последних продуктов, включая Windows XP и Office XP», — пишет газета.

Эксперты рекомендуют системным администраторам, которым не удалось загрузить патчи, заблокировать порт UDP 1434. Это перекроет доступ к уязвимости извне. Порт UDP 1434 используется сервисом SQL Server Resolution Service, который позволяет клиентам находить на машине конкретную копию SQL Server.

В этом сервисе и кроется уязвимость, которую использует SQL Slammer. В SQL применяется диспетчерский механизм, отличающий активную копию от пассивных. Однако из-за ошибки, когда в диспетчерскую функцию SQL Server 2000 будет направлен определенный пакет данных, она возвращает отправителю идентичный пакет. При обычных обстоятельствах это не проблема, но, если проследить адрес источника такого пакета, появляется возможность заставить две системы SQL Server 2000 обмениваться пакетами до бесконечности.

Именно так и работает SQL Slammer. В оригинальном описании ошибки Microsoft излагает последовательность событий следующим образом:

«Предположим, что имеются два уязвимых SQL Server: Server 1 и Server 2. Теперь допустим, что атакующий создал нужный диспетчерский пакет, изменив адрес источника таким образом, что в нем содержится адрес Server 1, и отправил этот пакет на Server 2. Server 2 ответит Server 1, тот ответит Server 2, и так далее до бесконечности».

Однако системные администраторы, похоже, наконец-то отреагировали оперативно. Антивирусные фирмы отмечают, что эпидемия преодолела свой пик уже к вечеру субботы.

Чарни сетует, что обширных последствий SQL Slammer можно было бы избежать. «Обидно, что о проблеме было известно, а они (заказчики) не внесли поправку, — говорит он. — Вот в чем вся горечь ситуации... Мы стремимся к тому, чтобы наши заказчики были максимально защищены, и призываем их устанавливать патчи».