Solution

Mixte (authentification Windows et authentification SQL Server), sécurisez votre compte login SA avec un mot de passe non NULL. Le worm fonctionne seulement si vous n’avez aucune sécurité sur votre compte login SA. Puis, vous devriez suivre les recommandations de « System Administrator (SA) Login » thème traité dans les livres online SQL Server, afin d’être certain que le compte SA intégré possède un mot de passe fort, même si vous n’avez jamais utilisé directement le compte SA vous-même. Pour améliorer la sécurité, activez un mode d’authentification Windows (Windows Authentification only), puis supprimez la possibilité à  n’importe qui de se connecter en tant qu’utilisateur SA. Configurez vos clients en utilisant l’authentification Windows.

– Programmez un audit des connexions réussies et non-réussies, puis arrêtez et redémarrez le service MS SQL Server.

– Bloquez le port 1433 de votre passerelle Internet et/ou assignez à  SQL Server un port de remplacement.

– Si le port 1433 doit être disponible sur votre passerelle Internet, mettez en place un filtre « egress / ingress » afin de prévenir toute mauvaise utilisation de ce port. Note : Contactez votre administrateur réseau ou votre distributeur firewall pour une assistance dans l’installation « egress/ingress » de ce filtre.

– Exécuter le service SQL Server et l’agent SQL Server sous un compte Microsoft Windows NT ordinaire, et non un compte administratif local.

Pour plus d’informations, visitez le site du CERT Coordination Center :

Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Intruder Detection Checklist
http://www.cert.org/tech_tips/intruder_detection_checklist.html