Megkedvelte az SQL Servert a Maggie vírus

​Világszerte több száz SQL Server kiszolgálót fertőzött meg az a kártékony program, amely a szervereket teljes mértékben kiszolgáltatottá tudja tenni a külső károkozásokkal szemben.
 

A DCSO CyTec biztonsági kutatói egy komoly fenyegetést jelentő kártékony program megjelenésére hívták fel a figyelmet. A károkozó legfontosabb jellemzője, hogy kifejezetten Microsoft SQL Servert futtató kiszolgálók megfertőzésére alkalmas. Amiért ilyen "válogatós", az nem más, minthogy olyan specifikus SQL utasításokkal vezérelhető, amelyek alapvetően a Microsoft adatbáziskiszolgálójával kompatibilisek.
 
Az eddigi vizsgálatok szerint a Maggie névre keresztelt kártevőhöz egy sqlmaggieAntiVirus_64.dll (Extended Stored Procedure DLL) fájl tartozik, amely egy olyan tanúsítvánnyal lett aláírva, ami egy DEEPSoft Co. Ltd nevű, dél-koreai céghez kapcsolódik. (Elképzelhető, hogy korábban a vírusíróknak sikerült megszerezniük e vállalat tanúsítványát, és most ezzel élnek vissza.)
 
A szóban forgó DLL-állomány feladata, hogy kiterjessze az SQL server képességeit, főleg olyan irányba, hogy SQL-utasításokkal minél több fájlművelet legyen végrehajtható. Emellett egy hátsó kapu kiépítésére is alkalmas, amelyen keresztül jelenleg 51 utasítást adhatnak ki a támadók. Többek között az alábbiakat:

• rendszerinformációk lekérdezése
• programok futtatása
• fájlműveletek
• távoli asztali kapcsolatok engedélyezése
• SOCKS5 proxy létrehozása
• TCP-adatforgalom és port átirányítás
• brute force támadások indítása további SQL kiszolgálók ellen.

 
A Maggie négy exploitot is tartalmaz, amelyek révén további nemkívánatos műveleteket tud végrehajtani. Egyebek mellett új felhasználói fiókokat hozhat létre az elkövetők kívánalmainak megfelelően.