Guía para evitar problemas de amplificación en el servicio Microsoft SQL Server Browser

Descripción:

El servicio del explorador de SQL Server enumera información de SQL Server en la red. Con esta información, los atacantes pueden utilizar clientes de SQL Server para explorar la infraestructura existente y recuperar una lista de instancias de ejecución de SQL Server.
El servicio del explorador de Microsoft SQL Server utiliza el puerto 1434/udp y acepta solicitudes no autenticadas mediante el protocolo de resolución de SQL Server (SSRP). Cuando esta función está activada y públicamente accesible desde Internet, los atacantes pueden utilizar este servicio para lanzar ataques de denegación de servicio (ataques de amplificación mediante paquetes UDP falsos).


¿Cómo verificar si su servidor/dispositivo es vulnerable?:

Sustituya xx.xx.xx.xx con la dirección IP de su servidor.

nmap -Pn -sV -sU -p U:1434 xx.xx.xx.xx

 

 Ejemplo del resultado de un servidor vulnerable:

PORT     STATE SERVICE  VERSION
1434/udp open  ms-sql-m Microsoft SQL Server 11.0.2100.60 (ServerName: xxxxx; TCPPort: 1433)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Solución:

Puede elegir una de las siguientes soluciones para proteger su servidor:
1.    Agregar una regla al firewall para bloquear todas las conexiones entrantes al puerto 1434/udp del servidor desde Internet
2.    Agregar reglas al firewall para permitir conexiones a este servicio (en el puerto 1434/udp) únicamente desde extremos autorizados
3.    Desactivar el servicio del explorador de SQL Server por completo (esta es una opción válida si se ejecuta solo una instancia de SQL Server y se encuentra en el puerto predeterminado).

Referencias externas:

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk