Slammer, il primo worm ad usare una bug non fixato da 6 mesi

Redazione RHC : 18 Marzo 2022 09:29

Sono trascorsi molti anni da quando il worm SQL Slammer si è propagato in modo incontrollato il 25 gennaio del 2003.

È stato uno tra i malware a più rapida diffusione della storia e con questo articolo vogliamo ripercorrere quei momenti, per comprendere tecnicamente il suo funzionamento e cosa successe quel giorno di molti anni fa.

In quel periodo, i concetti di sicurezza informatica non erano così diffusi come oggi e molte persone si trovarono completamente impreparate e disorientate ad affrontare questa cyber pandemia.

Cos’è SQL Slammer?

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Se lavoravi nel comparto IT nel 2003, ricorderai cosa stavi facendo quando Slammer è entrato nella tua vita. Era un sabato, precisamente il 25 gennaio del 2003 quando il worm SQL Slammer venne lanciato nelle prime ore del mattino.

Quando molti di noi si sono svegliati e ne hanno sentito parlare, Slammer aveva già bloccato la maggior parte dei server e delle reti SQL di tutto il mondo, tra le quali le reti degli sportelli bancomat delle banche che risultavano completamente fuori uso. 

Giornali e stampa non raggiunsero le edicole e se la tua azienda utilizzava in quel periodo i personal computer, è probabile che tu ne abbia sentito parlare.

SQL Slammer era un incredibile malware di soli 376 byte. Ha tentato di connettersi a tutti i computer che poteva alla ricerca della porta MS-SQL UDP 1434. Non gli importava se il computer dove si stava connettendo eseguiva SQL server o meno. 

Fino ad allora, molti ricercatori pensavano che l’approccio “prova un exploit per comprendere se la falla c’è realmente” era un metodo molto inefficiente. Perché avresti dovuto perdere tempo a provare un exploit, qualora non esisteva un server MS-SQL o magari esisteva ed era aggiornato? 

Slammer dimostrò che gli esperti avevano torto e gettò le basi del funzionamento degli scanning massivi che oggi sono la normalità.

Infatti Slammer tentava la connessione su ogni computer raggiungibile nella rete per poter trovarne uno vulnerabile. Non includeva solo i server SQL, ma qualsiasi workstation che eseguiva versioni senza patch del prodotto SQL di Microsoft.

SQL Slammer si è diffuso su decine di migliaia di computer nella prima ora. 

Nel giro di poche ore, il suo codice aveva infettato la maggior parte dei server senza patch su Internet, e così avrebbe continuato fino alla tarda serata. Quando Slammer identificava un server SQL vulnerabile, si propagava per rieseguire una copia di se stesso sul nuovo server contagiato.

Non sappiamo oggi chi lo abbia scritto o per quale scopo, ma sappiamo che era un codice estremamente versatile e leggero.

Le ipotesi includono un esperimento di un hacker super intelligente che voleva entrare in uno specifico server SQL in mezzo a tutto il rumore generato dal malware, oppure un hacker dispettoso che non sapeva cosa stava facendo quando lo ha lanciato. Fino ad allora, nessun altro malware era mai arrivato a diffondersi in quel modo e a causare così tanti danni così velocemente. 

È stato un cambio di paradigma immediato.

I due maggiori segnali di un’infezione da SQL Slammer erano le applicazioni interconnesse che smettevano di funzionare oppure l’intera rete che collassava a causa di tutta la larghezza di banda utilizzata dal malware.

La cosa sorprendente di Slammer (cosa vista più volte nei tempi moderni) era che la patch relativa alla vulnerabilità sfruttata era disponibile da quasi sei mesi. 

Infatti, il ricercatore di sicurezza David Litchfield e la sua azienda, NGSSoftware, avevano scoperto il bug su SQL server a maggio del 2002 avvertendo in modo responsabile la Microsoft che rilasciò la patch a luglio 2002.

Cosa ci ha insegnato SQL Slammer

SQL Slammer ci ha insegnato che le patch di vulnerabilità critiche dovevano essere applicate il più rapidamente possibile. 

Il mondo da quel momento in poi, non poteva più essere cullato da un falso senso di sicurezza solo perché gli hacker e gli autori di malware non sfruttavano appieno gli exploit generati.

Questo significava che il tempo tra il rilascio della patch e l’exploit doveva iniziare ad essere misurato in secondi. 

Slammer alla fine non ha causato alcun danno intenzionale oltre al crash del server SQL e al collasso della larghezza di banda di una rete. 

Non ha infettato file, cancellato dati, raccolto password o fatto nessuna delle altre cose subdole che quasi tutti i malware di oggi fanno per impostazione predefinita. 

Erano tempi diversi da quelli di oggi, dove il crimine informatico non è più un gioco, ma una industria di miliardi di dollari.

Detto questo, applicate sempre le patch di sicurezza non appena sia possibile.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli