From 8bf367493c33c54848bb91cc79b80eba39d7a64f Mon Sep 17 00:00:00 2001 From: sz Date: Sat, 18 Apr 2009 19:12:36 +0000 Subject: committing page revision 1 --- updates/2003/mssqlworm.md | 63 +++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 63 insertions(+) create mode 100644 updates/2003/mssqlworm.md (limited to 'updates') diff --git a/updates/2003/mssqlworm.md b/updates/2003/mssqlworm.md new file mode 100644 index 00000000..3ae085a8 --- /dev/null +++ b/updates/2003/mssqlworm.md @@ -0,0 +1,63 @@ +title: Microsoft SQL-Server Wurm legte Rechnernetze lahm +date: 2003-01-26 00:00:00 +updated: 2009-04-18 19:12:36 +author: sz +tags: update + + +Gestern wurde überall auf der Welt ein +Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg +wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server +verbreitet. + + + + +Ein infizierter SQL-Server versendet unter Nutzung der vollen +verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte +andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit +einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine +Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire" +nicht und verändert auch keine Daten auf der Festplatte des infizierten +Rechners. Allerdings hat er noch einen zweiten, schädlichen Effekt: +Durch den durch die Verbreitungsmethode verursachten starken Anstieg des +Datenaufkommens können Router und Rechnernetze überlastet werden. + +Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange +bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft +eine entsprechende +[Warnung](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp) +und einen Patch. Doch offensichtlich haben es viele Administratoren +versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle +Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an +den Server geschickt wird, ausreicht, ihn zu infizieren. + +Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port +1434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet +sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen, +indem man den UDP Port 1434 an den Eingangsroutern sperrt, die Microsoft +SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service Pack 3 +einspielt. Das CERT veröffentlichte eine entsprechende +[Meldung](http://www.cert.org/advisories/CA-2003-04.html). + +Trotzdem hat allein das durch den Wurm verursachte +[Datenaufkommen](http://isc.sans.org/port1434start.gif) einige Probleme +verursacht: Viele Server waren und sind z.T. nicht erreichbar. +Internet-Backbones waren überlastet, wie ein [Plot des +Interdomain-Routing-Systems](http://www.research.att.com/~griffin/bgp_monitor/sql_worm.html) +zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig, +was besonders am Wochenende problematisch ist. Durch die fehlende +Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber +nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm" +gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar +beobachtet. Der Ursprung und Zweck ist aber noch unbekannt. + +Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms +betroffen gewesen, wie [CNN +berichtet](http://www.cnn.com/2003/TECH/internet/01/25/internet.attack/index.html). +Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der +Bank of America fielen laut einem [Artikel der Washington +Post](http://www.washingtonpost.com/wp-dyn/articles/A43267-2003Jan25.html) +13.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich, +daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen +konnte. -- cgit v1.2.3