summaryrefslogtreecommitdiff
path: root/updates/2003/mssqlworm.md
blob: c4147d5de88babd7a4413cf4fe8cddd30255d73b (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
title: Microsoft SQL-Server Wurm legte Rechnernetze lahm
date: 2003-01-26 00:00:00 
updated: 2016-08-28 13:12:32 
author: sz
tags: update, microsoft

Gestern wurde überall auf der Welt ein Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server verbreitet.


<!-- TEASER_END -->

Ein infizierter SQL-Server versendet unter Nutzung der vollen
verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte
andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit
einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine
Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire"
nicht und verändert auch keine Daten auf der Festplatte des infizierten
Rechners. Allerdings hat er noch einen zweiten schädlichen Effekt: Durch
den durch die Verbreitungsmethode verursachten starken Anstieg des
Datenaufkommens können Router und Rechnernetze überlastet werden.

Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange
bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft
eine entsprechende
[Warnung](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp)
und einen Patch. Doch offensichtlich haben es viele Administratoren
versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle
Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an
den Server geschickt wird, ausreicht, ihn zu infizieren.

Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port
1434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet
sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen,
indem man den UDP-Port 1434 an den Eingangsroutern sperrt, die Microsoft
SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service-Pack 3
einspielt. Das CERT veröffentlichte eine entsprechende
[Meldung](http://www.cert.org/advisories/CA-2003-04.html).

Trotzdem hat allein das durch den Wurm verursachte
[Datenaufkommen](http://isc.sans.org/port1434start.gif) einige Probleme
verursacht: Viele Server waren und sind z. T. nicht erreichbar.
Internet-Backbones waren überlastet, wie ein [Plot des
Interdomain-Routing-Systems](http://www.research.att.com/~griffin/bgp_monitor/sql_worm.html)
zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig,
was besonders am Wochenende problematisch ist. Durch die fehlende
Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber
nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm"
gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar
beobachtet. Der Ursprung und Zweck ist aber noch unbekannt.

Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms
betroffen gewesen, wie [CNN
berichtet](http://www.cnn.com/2003/TECH/internet/01/25/internet.attack/index.html).
Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der
Bank of America fielen laut einem [Artikel der Washington
Post](http://www.washingtonpost.com/wp-dyn/articles/A43267-2003Jan25.html)
13.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich,
daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen
konnte.