committing page revision 1

author: sz <sebastian@ccc.de> 2009-04-18 19:12:36 +0000
committer: sz <sebastian@ccc.de> 2020-05-23 13:38:17 +0000
commit: 8bf367493c33c54848bb91cc79b80eba39d7a64f (patch)
tree: 5dc4ba99c9f6a06ee29c42c65e8dc10031146785 /updates/2003
parent: 8fb9b2f512aaf30a9e218c95b28a0fbb9e9b82ed (diff)
1 files changed, 63 insertions, 0 deletions
diff --git a/updates/2003/mssqlworm.md b/updates/2003/mssqlworm.md
new file mode 100644
index 00000000..3ae085a8
--- /dev/null
+++ b/updates/2003/mssqlworm.md
@@ -0,0 +1,63 @@
+title: Microsoft SQL-Server Wurm legte Rechnernetze lahm
+date: 2003-01-26 00:00:00 
+updated: 2009-04-18 19:12:36 
+author: sz
+tags: update
+Gestern wurde überall auf der Welt ein
+Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg
+wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server
+verbreitet.
+<!-- TEASER_END -->
+Ein infizierter SQL-Server versendet unter Nutzung der vollen
+verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte
+andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit
+einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine
+Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire"
+nicht und verändert auch keine Daten auf der Festplatte des infizierten
+Rechners. Allerdings hat er noch einen zweiten, schädlichen Effekt:
+Durch den durch die Verbreitungsmethode verursachten starken Anstieg des
+Datenaufkommens können Router und Rechnernetze überlastet werden.
+Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange
+bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft
+eine entsprechende
+[Warnung](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp)
+und einen Patch. Doch offensichtlich haben es viele Administratoren
+versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle
+Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an
+den Server geschickt wird, ausreicht, ihn zu infizieren.
+Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port
+1434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet
+sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen,
+indem man den UDP Port 1434 an den Eingangsroutern sperrt, die Microsoft
+SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service Pack 3
+einspielt. Das CERT veröffentlichte eine entsprechende
+[Meldung](http://www.cert.org/advisories/CA-2003-04.html).
+Trotzdem hat allein das durch den Wurm verursachte
+[Datenaufkommen](http://isc.sans.org/port1434start.gif) einige Probleme
+verursacht: Viele Server waren und sind z.T. nicht erreichbar.
+Internet-Backbones waren überlastet, wie ein [Plot des
+Interdomain-Routing-Systems](http://www.research.att.com/~griffin/bgp_monitor/sql_worm.html)
+zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig,
+was besonders am Wochenende problematisch ist. Durch die fehlende
+Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber
+nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm"
+gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar
+beobachtet. Der Ursprung und Zweck ist aber noch unbekannt.
+Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms
+betroffen gewesen, wie [CNN
+berichtet](http://www.cnn.com/2003/TECH/internet/01/25/internet.attack/index.html).
+Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der
+Bank of America fielen laut einem [Artikel der Washington
+Post](http://www.washingtonpost.com/wp-dyn/articles/A43267-2003Jan25.html)
+13.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich,
+daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen
+konnte.
author	sz <sebastian@ccc.de>	2009-04-18 19:12:36 +0000
committer	sz <sebastian@ccc.de>	2020-05-23 13:38:17 +0000
commit	8bf367493c33c54848bb91cc79b80eba39d7a64f (patch)
tree	5dc4ba99c9f6a06ee29c42c65e8dc10031146785 /updates/2003
parent	8fb9b2f512aaf30a9e218c95b28a0fbb9e9b82ed (diff)

diff --git a/updates/2003/mssqlworm.md b/updates/2003/mssqlworm.md new file mode 100644 index 00000000..3ae085a8 --- /dev/null +++ b/updates/2003/mssqlworm.md
@@ -0,0 +1,63 @@
	1	title: Microsoft SQL-Server Wurm legte Rechnernetze lahm
	2	date: 2003-01-26 00:00:00
	3	updated: 2009-04-18 19:12:36
	4	author: sz
	5	tags: update
	6
	7
	8	Gestern wurde überall auf der Welt ein
	9	Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg
	10	wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server
	11	verbreitet.
	12
	13
	14	<!-- TEASER_END -->
	15
	16	Ein infizierter SQL-Server versendet unter Nutzung der vollen
	17	verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte
	18	andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit
	19	einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine
	20	Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire"
	21	nicht und verändert auch keine Daten auf der Festplatte des infizierten
	22	Rechners. Allerdings hat er noch einen zweiten, schädlichen Effekt:
	23	Durch den durch die Verbreitungsmethode verursachten starken Anstieg des
	24	Datenaufkommens können Router und Rechnernetze überlastet werden.
	25
	26	Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange
	27	bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft
	28	eine entsprechende
	29	[Warnung](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp)
	30	und einen Patch. Doch offensichtlich haben es viele Administratoren
	31	versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle
	32	Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an
	33	den Server geschickt wird, ausreicht, ihn zu infizieren.
	34
	35	Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port
	36	1434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet
	37	sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen,
	38	indem man den UDP Port 1434 an den Eingangsroutern sperrt, die Microsoft
	39	SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service Pack 3
	40	einspielt. Das CERT veröffentlichte eine entsprechende
	41	[Meldung](http://www.cert.org/advisories/CA-2003-04.html).
	42
	43	Trotzdem hat allein das durch den Wurm verursachte
	44	[Datenaufkommen](http://isc.sans.org/port1434start.gif) einige Probleme
	45	verursacht: Viele Server waren und sind z.T. nicht erreichbar.
	46	Internet-Backbones waren überlastet, wie ein [Plot des
	47	Interdomain-Routing-Systems](http://www.research.att.com/~griffin/bgp_monitor/sql_worm.html)
	48	zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig,
	49	was besonders am Wochenende problematisch ist. Durch die fehlende
	50	Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber
	51	nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm"
	52	gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar
	53	beobachtet. Der Ursprung und Zweck ist aber noch unbekannt.
	54
	55	Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms
	56	betroffen gewesen, wie [CNN
	57	berichtet](http://www.cnn.com/2003/TECH/internet/01/25/internet.attack/index.html).
	58	Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der
	59	Bank of America fielen laut einem [Artikel der Washington
	60	Post](http://www.washingtonpost.com/wp-dyn/articles/A43267-2003Jan25.html)
	61	13.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich,
	62	daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen
	63	konnte.