Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties
Bron: SecurityFocus

Op SecurityFocus is een alarmerend verhaal te lezen over Voyager Alpha Force, een hybride virus dat waarschijnlijk gebruikt kan worden om DDoS aanvallen te lanceren. Het wormgedeelte van de tool probeert andere computers verbonden aan het internet binnen te dringen via poort 1433, waar Microsoft SQL Server naar luistert. Dit pakket heeft een ingebouwde beheerdersaccount die blijkbaar vaak zonder wachtwoord open staat. Als het programma zichzelf eenmaal genesteld heeft kan het net als zijn voorganger "Kaiten" een verbinding maken met een IRC server, waarna de machine een bepaald kanaal (met een door de verspreider ingesteld wachtwoord) zal proberen te betreden. Vanuit dat kanaal kan de "eigenaar" van de worm opdrachten geven aan zijn slachtoffers, bijvoorbeeld om een site waarvan hij niet zo gecharmeerd is te bestoken met dataverkeer:

Viruswaarschuwing On November 20th, at approximately 4 AM PST, SecurityFocus ARIS™ Incident Analysts identified a rapidly growing network of controlled agents or "bots", increasing 600% in the last 6 hours, which can be used to launch a DDoS attack. The tool is propagated through incorrectly configured Microsoft™ SQL server systems by scanning the System Administrator accounts that contain a password specified by the attacker.

[...] The tool named "Voyager Alpha Force," a modified and enhanced version of the DDoS tool, Kaiten, is human controlled through Internet Relay Chat (IRC) communications by connecting to an IRC server and joining a password-protected channel. An attacker is effectively able to control a large number of agents residing on compromised hosts, by issuing commands that would initiate a DDoS attack or cause the program to continue propagating.

Gistron wordt bij deze bedankt voor zijn submit.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (28)

Dit is dus niet direct een fout van Micrsoft, maar van onzorgvuldige MSSQL-Server beheerders.

Het lijkt me een goed idee als Microsoft hun gebruikers op een iets duidelijkere manier aangeven hoe gevaarlijk zulke laksheids kan zijn.
Buiten dat, zou MS de standaard level van beveiliging moeten verhogen, dus o.a. het niet meer accepteren van acounts zonder password, standaard alle poorten dicht zetten op IIS en standaard shares afzetten, want dat mag misschien wel handig zijn voor de beheerders, maar ook heel erg vervelend als je het vergeet uit te zetten.

Gelukkig heeft MS dat ook in de gaten en heeft MS aangegeven dat de toekomstige versies van IIS standaard dicht zijn i.p.v. open zoals nu het geval is. Want ook al zijn de beheerders de fout bij de meeste besmettingen, het staat niet goed voor MS.
sterker nog... geen apart beheerders account maken
het lijkt mij verstandiger om dat te integreren met de user dbase van nt/2k/xp scheelt weer werk
Dat kan ook, daar kun je voor kiezen tijdens de installatie. Probleem is gewoon dat men bij zo'n installer alleen maar op next blijft klikken zonder te lezen om wat voor informatie eigenlijk gevraagd wordt... "Het zal wel goed zijn" denken ze vaak.

Of ze vinden een leeg wachtwoord voor sa 'makkelijker' |:(
MS heeft de laatste tijd niet echt veel mazzel gehad met oplettende systeembeheerders.
Naast dit was er ook al de IIS bug die *VEELS* te lang bij veel mensen heeft opengestaan.

Mensen hebben veel kritiek op de makers, maar de gebruikers kunnen er ook wat van.
IMO zou het gebruik van standaard accounts ten zeerste afgeraden moeten worden.
Helaas is veel server software echter afhankelijk van een bekend beheerders account, en de koningen hierin zijn database paketten.
Dat zijn echter niet de enige, en ook microsoft is niet de enige leverancier die zich eraan "schuldig" maakt.
Voorbeelden: Oracle (SYS en SYSTEM), NT (Administrator), *nix (root)...
Inderdaad, ik vindt dat elk account waar de naam al van bekend is een gevaar, het geeft namelijk een houvast waar een hax0r zich op kan concentreren.

(tussen twee haakjes, de absolute winnaar IMO wat betreft standaard account is nog steeds een OS, namelijk VMS. Deze heeft een stuk of zes standaard accounts, met even zoveel bekende standaard wachtwoorden...erg fijn wanneer de beheerder ervan wat minder ervaren is, hoewel het duidelijk in de handleiding staat.)

* 786562 PolarWolf
edit:
oops dit was een reactie op Iceman60248


Tsja er zijn meer mensen die op de nieuwslink klikken..

Wat betreft je andere opmerking, dat slaat helemaal nergens op natuurlijk. Dit is gewoon een beheerdersfout, je kunt MS hooguit verwijten dat ze geen rekening gehouden hebben met zulke domme beheerders.

Wat betreft de prijzen, als iedereen z'n OS nu eens gewoon kocht ipv. kopieerde zouden de prijzen misschien omlaag kunnen. Zo duur is het OS trouwens niet eens. Ik blijf het verbazingwekkend vinden hoe een tweaker rustig een rug neerlegt voor de allerlaatste Geforce3 (die niet eens zo gruwlijk veel verschilt van een GF1) maar begint te miepen over 600 piek voor een OS.
Wat betreft de prijzen, als iedereen z'n OS nu eens gewoon kocht ipv. kopieerde zouden de prijzen misschien omlaag kunnen. Zo duur is het OS trouwens niet eens. Ik blijf het verbazingwekkend vinden hoe een tweaker rustig een rug neerlegt voor de allerlaatste Geforce3 (die niet eens zo gruwlijk veel verschilt van een GF1) maar begint te miepen over 600 piek voor een OS.
Ergens heb je gelijk dat er gewoon betaald dient te worden voor een product, van de andere kant, een gf3ti500 leg je niet in je ene cd-laatje waarop er uit het andere laatje een perfecte kopie komt.
Hiermee bedoel ik niet dat je dus maar moet kopieren, maar dat het voor de gf/hardware producenten iets anders ligt om meerdere exemplaren te leveren voor niet veel meer geld.
Stel je voor dat os-en en andere software veel goedkoper zouden zijn, dan zouden meer mensen het kunnen betalen, en zouden ze misschien meer omzet kunnen maken.
Maar dat willen ze niet, want dan moeten ze ook al die mensen support geven, en dat gaat niet.

Hardware is gewoon een bepaalde prijs waard, en de extra prijs die je ervoor betaald (bovenop de kostprijs) is uit te drukken in een percentage van de kostprijs, niet een vermenigvuldigingsfactor, zoals bij sommige os-en.

Oh ja, o-t enzo, maargoed.. :)
Stel je voor dat os-en en andere software veel goedkoper zouden zijn, dan zouden meer mensen het kunnen betalen, en zouden ze misschien meer omzet kunnen maken.
Wel, Linux is gratis, dus de prijs kan niet echt meer een probleem zijn.

Veel problemen met windows producten zouden kunnen worden voorkomen wanneer Microsoft zijn producten eens standaard als veilig zou verkopen i.p.v. gemakkelijk. :)
Niet iedereen heeft veel geld, ik kan namelijk geen GF3 betalen. :'(
Ik ben al blij met mijn GF2 Pro voor 500, daar kan ik weer ff mee vooruit.
[ook off-topic]
Niet alle OS-sen kosten veel geld..
[/ook off-topic]
Even voor degen die zelf ook zo'n webserver hebben.

Het programma Voyager Alpha Force verspreid vooral virussen met het exe bestandje: Joe.exe

Dus als je die tegenkomt weet je wat ut is :)
Ja inderdaad dat bericht heb ik zojuist ook gelezen iceman60248, alleen ik heb ook gelezend dat het zijn naam ook naar andere gewoone namen verranderd. Want ook is voorgekomen dat het Mark.exe of Bill.exe heet. BTW bedankt dat je het nog ff vertelt he :)
Dit pakket heeft een ingebouwde beheerdersaccount die blijkbaar vaak zonder wachtwoord open staat
Sjeez, dat klopt ja, maar dat is ook altijd het EERSTE wat je aan moet passen.

Dacht dat beheerders die en pakket als SQL Server installeerden zoiets zelf wel wisten, maargoed...
sowieso: hoeveel nut heeft 't een SQL server buiten je intranet beschikbaar te maken? Zal in de meeste gevallen dan wel een machine zijn die SQL server en IIS draait, maar dan nog: een bedrijfsdatabase (ongeacht wat er in staat) zet je liever achter een firewall
Ik kan me wel situaties voorstellen waar dat nodig cq. handig voor is:
Beheer van databases van database-driven websites die op een hosting-lokatie staan en niet binnen het bedrijf (gebeurd vaak!) of databases die gebruikt worden door meerdere (geografisch verspreide) afdelingen van een organisatie of zelfs deel uitmaken van een gedistribueerde database (al zou je in dat laatste geval toch een wat meer capabele administrator verachten, het opzetten van zoiets is namelijk knap ingewikkeld).

Feit blijft dat het dom is om je accounts zo makkelijk toegankelijk te maken. |:(
En als je bedrijf laptops meegeeft aan iedere werknemer en deze de laptop mee naar huis neemt, in het netwerk hangt, computer infecteerd (per ongeluk, mag ik aannemen) en daarna de laptop weer mee naar het bedrijf neemt, vanwaar hij ongeveer 10.000 computers kan benaderen en waar in het netwerk honderden malen SQL Server draait?

Zo is bij ons ook CodeRed binnen gekomen, omdat mensen op hun laptop IIS open hadden staan. Dat had dus niets met netwerk beheerders te maken. Want nu zijn er ook mensen die een ontwikkel-server hebben met SQL-Server erop, of zelfs op hun laptop.

Overigens heeft de netwerk afdeling wél een probleem zodra iemand eens wat naar het management speelt dat CodeRed (en waarschijnlijk dit wormpje ook) wel 20 dagen lang staat te spugen richting andere servers en die op hun beurt daarna opnieuw beginnen te spugen. Dat betekend héél veel dataverkeer voordat de werkelijke attacks beginnen en dat zouden ze toch moeten zien aankomen! :)
Je zal ze de kost moeten geven :(
Maar ja misschien moet MS hun gebruiksvriendelijke waarschuwing als je sa een leeg wachtwoord geeft toch maar eens iets minder vriendelijk maken, en verplichten dat er iets in staat (geen spatie :P) alles beter dan leeg...
Het is inderdaad vreemd dat dit account zonder password kan.

Het lijkt me helemaal niet moeilijk om de installatie van SQL pas te laten continueren nadat er een password is gegeven aan het ingebouwde admin account.

Trouwens de 1433 poort dient helemaal niet bereikbaar te zijn voor jan en alleman.
Dat geldt voor meer poorten die echter wel vrolijk open staan.
Het is echter niet echt relevant, IMO zou een backend database achter een DMZ moeten staan, dus onbereikbaar voor externe clients (en dus van wormpjes van buiten).
Een serieuze omgeving kan *niet* zonder een goede firewall.
Hoe die worm zich dan uberhaupt verspreiden en opstarten? Het is toch een database? Volgensmij hoort dat niet.
Databases zijn tegenwoordig nogal aardig uitgerust met programmeertalen voor stored procedures...
In het geval van SQl-Server zal dat iets van VB ofzo zijn.
Die talen hebben de vervelende eigenschap om ook allerlei niet database eigen instructies uit te voeren, zoals bijvoorbeeld socket operaties...

In Oracle kun je bijvoorbeeld naast het eigen PL/SQL ook Java stored procedures maken.
Even de goede library aanroepen, en je kan een Java wormpje bouwen wat bijvoorbeeld zichzelf repliceert naar een naburige Oracle server (die dingen kunnen met elkaar babbelen).
Ik wil niet eens weten wat er met je data kan gebeuren wanneer said wormpje als SYSTEM gaat draaien, aangezien deze overal bij kan...
Al zo vaaaak tegengekomen bij klanten:

User: sa
pass: sa

|:( |:( |:( |:( |:( |:(
Een ding is zeker. De maker heeft smaak. De naam van dit virus alleen al vindt ik stoer.
Ja, ik dacht dat heel Star Trek op mijn webserver zu invliegen, maar het blijkt achteraf nogal mee te vallen ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True