Удаленное переполнение буфера через MDAC в MS SQL сервере (подробности эксплуатации)

Одна из особенностей сетевой библиотеки SQL сервера – возможность запрашивать список SQL серверов в локальной сети. Для этого посылается широковещательное UDP сообщение к 1434 порту, которое достигнет всех приложений в локальной сети. Эта функция - компонент SQL-DMO, который используется SQL Server Service Manager (всякий раз при запуске), Enterprise Manager (при регистрации сервера), Query Analyzer и SQL (при клике на "..." клавишу), DTS (при выборе SQL сервера) и т.п.

Все SQL серверы, получающие широковещательный запрос, отвечают стандартным UDP пакетом. Если злонамеренная машина отвечает на этот широковещательный запрос слишком длинным пакетом, произойдет переполнение буфера. Переполнение происходит в UNICODE строке, так что для эксплуатации этого переполнения буфера должен использоваться Venetian метод.

Любые утилиты SQL сервера, которые используют SQL-DMO функцию для поиска SQL серверов, уязвимы к этому нападению. Нападающий может использовать несколько методов для эксплуатации этой уязвимости:

1. Установить службу, слушающую на 1434 UDP порту, которая будет посылать эксплоит при получении данных. В этом случае злонамеренный сервис должен находится в той же самой подсети.
2. Засыпать удаленную подсеть UDP пакетами, надеясь, что кто-то сделает уязвимый запрос. Например, посылайте злонамеренные пакеты каждые 2 сек к 192.168.3.255, которые достигнут всех машин на 192.168.3.x подсети. Когда кто-то наконец пошлет широковещательный UDP пакет, то они примут злонамеренный пакет и подвергнуться действию эксплоита.
3. Также возможно через низко привилегированную учетную запись в MS SQL сервере послать запрос напрямую к IP адресу на сети. Следующая SQL инструкция заставит SQL сервер запросить хост с именем SERVER с UDP пакетом:

   SELECT * FROM openrowset( 'SQLOLEDB', 'server=SERVER\instance
   name;uid=sa;pwd=', '')
   

Уязвимость обнаружена в Microsoft Data Access Components 2.5sp1 - 2.7 SP1