diff options
author | sz <sebastian@ccc.de> | 2009-04-18 19:12:36 +0000 |
---|---|---|
committer | sz <sebastian@ccc.de> | 2020-05-23 13:38:17 +0000 |
commit | 8bf367493c33c54848bb91cc79b80eba39d7a64f (patch) | |
tree | 5dc4ba99c9f6a06ee29c42c65e8dc10031146785 /updates/2003 | |
parent | 8fb9b2f512aaf30a9e218c95b28a0fbb9e9b82ed (diff) |
committing page revision 1
Diffstat (limited to 'updates/2003')
-rw-r--r-- | updates/2003/mssqlworm.md | 63 |
1 files changed, 63 insertions, 0 deletions
diff --git a/updates/2003/mssqlworm.md b/updates/2003/mssqlworm.md new file mode 100644 index 00000000..3ae085a8 --- /dev/null +++ b/updates/2003/mssqlworm.md | |||
@@ -0,0 +1,63 @@ | |||
1 | title: Microsoft SQL-Server Wurm legte Rechnernetze lahm | ||
2 | date: 2003-01-26 00:00:00 | ||
3 | updated: 2009-04-18 19:12:36 | ||
4 | author: sz | ||
5 | tags: update | ||
6 | |||
7 | |||
8 | Gestern wurde überall auf der Welt ein | ||
9 | Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg | ||
10 | wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server | ||
11 | verbreitet. | ||
12 | |||
13 | |||
14 | <!-- TEASER_END --> | ||
15 | |||
16 | Ein infizierter SQL-Server versendet unter Nutzung der vollen | ||
17 | verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte | ||
18 | andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit | ||
19 | einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine | ||
20 | Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire" | ||
21 | nicht und verändert auch keine Daten auf der Festplatte des infizierten | ||
22 | Rechners. Allerdings hat er noch einen zweiten, schädlichen Effekt: | ||
23 | Durch den durch die Verbreitungsmethode verursachten starken Anstieg des | ||
24 | Datenaufkommens können Router und Rechnernetze überlastet werden. | ||
25 | |||
26 | Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange | ||
27 | bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft | ||
28 | eine entsprechende | ||
29 | [Warnung](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp) | ||
30 | und einen Patch. Doch offensichtlich haben es viele Administratoren | ||
31 | versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle | ||
32 | Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an | ||
33 | den Server geschickt wird, ausreicht, ihn zu infizieren. | ||
34 | |||
35 | Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port | ||
36 | 1434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet | ||
37 | sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen, | ||
38 | indem man den UDP Port 1434 an den Eingangsroutern sperrt, die Microsoft | ||
39 | SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service Pack 3 | ||
40 | einspielt. Das CERT veröffentlichte eine entsprechende | ||
41 | [Meldung](http://www.cert.org/advisories/CA-2003-04.html). | ||
42 | |||
43 | Trotzdem hat allein das durch den Wurm verursachte | ||
44 | [Datenaufkommen](http://isc.sans.org/port1434start.gif) einige Probleme | ||
45 | verursacht: Viele Server waren und sind z.T. nicht erreichbar. | ||
46 | Internet-Backbones waren überlastet, wie ein [Plot des | ||
47 | Interdomain-Routing-Systems](http://www.research.att.com/~griffin/bgp_monitor/sql_worm.html) | ||
48 | zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig, | ||
49 | was besonders am Wochenende problematisch ist. Durch die fehlende | ||
50 | Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber | ||
51 | nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm" | ||
52 | gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar | ||
53 | beobachtet. Der Ursprung und Zweck ist aber noch unbekannt. | ||
54 | |||
55 | Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms | ||
56 | betroffen gewesen, wie [CNN | ||
57 | berichtet](http://www.cnn.com/2003/TECH/internet/01/25/internet.attack/index.html). | ||
58 | Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der | ||
59 | Bank of America fielen laut einem [Artikel der Washington | ||
60 | Post](http://www.washingtonpost.com/wp-dyn/articles/A43267-2003Jan25.html) | ||
61 | 13.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich, | ||
62 | daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen | ||
63 | konnte. | ||