Port 1434 (UDP) – Moniteur MS SQL

Qu'est-ce qui tourne sur le port 1434 ?

UDP 1434 est le Microsoft SQL Server Resolution Service, exposé aujourd'hui par le SQL Server Browser. Lorsqu'un client veut une instance nommée, il envoie ici une petite requête UDP et le serveur répond avec le port TCP dynamique (et les détails de version) sur lequel l'instance écoute. Il est surtout pertinent sur les hôtes exécutant des instances SQL Server nommées ou multiples.

Pourquoi c'est important pour la sécurité

Le port 1434 est entré dans l'histoire comme vecteur du ver SQL Slammer en 2003 : une RCE par dépassement de tampon (CVE-2002-0649) dans le service de résolution permettait à un seul paquet UDP de 376 octets d'exécuter du code et de s'auto-propager, infectant la plupart des hôtes vulnérables en quelques minutes et perturbant Internet mondialement. Même corrigé, le service énumère les instances et les versions, fournissant aux attaquants une carte précise pour des attaques ultérieures sur les ports TCP de SQL Server, et sa forme petite requête/grande réponse peut être détournée pour la réflexion.

Comment il est attaqué

Les attaquants scannent l'UDP 1434 pour énumérer les instances, noms et versions SQL, puis pivotent vers les ports TCP découverts pour du brute force ou des exploits connus. Historiquement, Slammer a démontré une RCE pré-authentification propagable via ce port, et l'asymétrie des réponses le rend utilisable dans des flots de réflexion.

Liste de durcissement

Bloquez UDP 1434 au périmètre et gardez SQL Server hors de l'Internet public. Lorsque c'est possible, désactivez le SQL Server Browser et attribuez à chaque instance un port TCP statique pour que les clients n'en aient pas besoin. Maintenez SQL Server entièrement à jour — les bugs de type Slammer sont propagables — et restreignez la connectivité de la base aux hôtes applicatifs de confiance. Utilisez la commande nmap ci-dessus pour énumérer l'exposition SQL sur les hôtes que vous êtes autorisé à tester.