From 8bf367493c33c54848bb91cc79b80eba39d7a64f Mon Sep 17 00:00:00 2001
From: sz <sebastian@ccc.de>
Date: Sat, 18 Apr 2009 19:12:36 +0000
Subject: committing page revision 1

---
 updates/2003/mssqlworm.md | 63 +++++++++++++++++++++++++++++++++++++++++++++++
 1 file changed, 63 insertions(+)
 create mode 100644 updates/2003/mssqlworm.md

(limited to 'updates')

diff --git a/updates/2003/mssqlworm.md b/updates/2003/mssqlworm.md
new file mode 100644
index 00000000..3ae085a8
--- /dev/null
+++ b/updates/2003/mssqlworm.md
@@ -0,0 +1,63 @@
+title: Microsoft SQL-Server Wurm legte Rechnernetze lahm
+date: 2003-01-26 00:00:00 
+updated: 2009-04-18 19:12:36 
+author: sz
+tags: update
+
+
+Gestern wurde überall auf der Welt ein
+Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg
+wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server
+verbreitet.
+
+
+<!-- TEASER_END -->
+
+Ein infizierter SQL-Server versendet unter Nutzung der vollen
+verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte
+andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit
+einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine
+Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire"
+nicht und verändert auch keine Daten auf der Festplatte des infizierten
+Rechners. Allerdings hat er noch einen zweiten, schädlichen Effekt:
+Durch den durch die Verbreitungsmethode verursachten starken Anstieg des
+Datenaufkommens können Router und Rechnernetze überlastet werden.
+
+Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange
+bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft
+eine entsprechende
+[Warnung](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp)
+und einen Patch. Doch offensichtlich haben es viele Administratoren
+versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle
+Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an
+den Server geschickt wird, ausreicht, ihn zu infizieren.
+
+Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port
+1434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet
+sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen,
+indem man den UDP Port 1434 an den Eingangsroutern sperrt, die Microsoft
+SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service Pack 3
+einspielt. Das CERT veröffentlichte eine entsprechende
+[Meldung](http://www.cert.org/advisories/CA-2003-04.html).
+
+Trotzdem hat allein das durch den Wurm verursachte
+[Datenaufkommen](http://isc.sans.org/port1434start.gif) einige Probleme
+verursacht: Viele Server waren und sind z.T. nicht erreichbar.
+Internet-Backbones waren überlastet, wie ein [Plot des
+Interdomain-Routing-Systems](http://www.research.att.com/~griffin/bgp_monitor/sql_worm.html)
+zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig,
+was besonders am Wochenende problematisch ist. Durch die fehlende
+Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber
+nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm"
+gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar
+beobachtet. Der Ursprung und Zweck ist aber noch unbekannt.
+
+Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms
+betroffen gewesen, wie [CNN
+berichtet](http://www.cnn.com/2003/TECH/internet/01/25/internet.attack/index.html).
+Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der
+Bank of America fielen laut einem [Artikel der Washington
+Post](http://www.washingtonpost.com/wp-dyn/articles/A43267-2003Jan25.html)
+13.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich,
+daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen
+konnte.
-- 
cgit v1.2.3