summaryrefslogtreecommitdiff
path: root/updates/2003
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2003')
-rw-r--r--updates/2003/mssqlworm.md63
1 files changed, 63 insertions, 0 deletions
diff --git a/updates/2003/mssqlworm.md b/updates/2003/mssqlworm.md
new file mode 100644
index 00000000..3ae085a8
--- /dev/null
+++ b/updates/2003/mssqlworm.md
@@ -0,0 +1,63 @@
1title: Microsoft SQL-Server Wurm legte Rechnernetze lahm
2date: 2003-01-26 00:00:00
3updated: 2009-04-18 19:12:36
4author: sz
5tags: update
6
7
8Gestern wurde überall auf der Welt ein
9Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg
10wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server
11verbreitet.
12
13
14<!-- TEASER_END -->
15
16Ein infizierter SQL-Server versendet unter Nutzung der vollen
17verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte
18andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit
19einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine
20Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire"
21nicht und verändert auch keine Daten auf der Festplatte des infizierten
22Rechners. Allerdings hat er noch einen zweiten, schädlichen Effekt:
23Durch den durch die Verbreitungsmethode verursachten starken Anstieg des
24Datenaufkommens können Router und Rechnernetze überlastet werden.
25
26Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange
27bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft
28eine entsprechende
29[Warnung](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp)
30und einen Patch. Doch offensichtlich haben es viele Administratoren
31versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle
32Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an
33den Server geschickt wird, ausreicht, ihn zu infizieren.
34
35Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port
361434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet
37sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen,
38indem man den UDP Port 1434 an den Eingangsroutern sperrt, die Microsoft
39SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service Pack 3
40einspielt. Das CERT veröffentlichte eine entsprechende
41[Meldung](http://www.cert.org/advisories/CA-2003-04.html).
42
43Trotzdem hat allein das durch den Wurm verursachte
44[Datenaufkommen](http://isc.sans.org/port1434start.gif) einige Probleme
45verursacht: Viele Server waren und sind z.T. nicht erreichbar.
46Internet-Backbones waren überlastet, wie ein [Plot des
47Interdomain-Routing-Systems](http://www.research.att.com/~griffin/bgp_monitor/sql_worm.html)
48zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig,
49was besonders am Wochenende problematisch ist. Durch die fehlende
50Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber
51nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm"
52gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar
53beobachtet. Der Ursprung und Zweck ist aber noch unbekannt.
54
55Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms
56betroffen gewesen, wie [CNN
57berichtet](http://www.cnn.com/2003/TECH/internet/01/25/internet.attack/index.html).
58Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der
59Bank of America fielen laut einem [Artikel der Washington
60Post](http://www.washingtonpost.com/wp-dyn/articles/A43267-2003Jan25.html)
6113.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich,
62daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen
63konnte.