Guide pour Microsoft SQL Browser Service pour éviter les problèmes d'amplification

Description :

Le service SQL Server Browser répertorie les renseignements de SQL Server sur le réseau. De cette manière, les pirates peuvent utiliser les clients de SQL Server pour parcourir l’infrastructure actuelle et récupérer une liste des instances SQL Server actives.

Le service Microsoft SQL Server Browser « écoute » le port 1434/udp et accepte les requêtes non authentifiées à l’aide du protocole SSRP (SQL Server Resolution Protocol). Lorsque cette fonctionnalité est activée et publiquement accessible à partir d’Internet, les pirates peuvent exploiter ce service pour lancer des attaques par déni de service (attaques par amplification au moyen de paquets UDP falsifiés).

 

Vérification de la vulnérabilité de votre serveur ou périphérique :

Remplacez xx.xx.xx.xx par l’adresse IP de votre serveur.

nmap -Pn -sV -sU -p U:1434 xx.xx.xx.xx

 

Exemple de sortie d’un serveur vulnérable :

PORT     STATE SERVICE  VERSION
1434/udp open  ms-sql-m Microsoft SQL Server 11.0.2100.60 (ServerName: IW-00163E006386; TCPPort: 1433)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

 

Solution :

Employez l’une des solutions suivantes pour protéger votre serveur :

  1. Appliquez une règle de pare-feu visant à bloquer toutes les connexions entrantes au port 1434/udp de votre serveur à partir d’Internet.
  2. Appliquez des règles de pare-feu visant à permettre la connexion à ce service (sur le port 1434/udp) uniquement à partir des points de terminaison autorisés.
  3. Désactivez entièrement le service SQL Server Browser (il s’agit d’une option valide si vous n’exécutez qu’une instance de SQL Server résidant sur le port par défaut).

 

Références externes :

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk