English

Microsoft SQL-Server Wurm legte Rechnernetze lahm

2003-01-26 00:00:00, sz

Gestern wurde überall auf der Welt ein Anstieg des Internet-Datenverkehrs beobachtet. Dieser Anstieg wurde durch einen Wurm verursacht, der sich über Microsoft SQL-Server verbreitet.

Ein infizierter SQL-Server versendet unter Nutzung der vollen verfügbaren Bandbreite besondere Datenpakete an zufällig ausgewählte andere Rechner. Läuft auf einem solchen ein Microsoft SQL-Server mit einer bestimmten Sicherheitslücke, so wird auch dieser infiziert. Eine Schadenfunktion hat der Wurm mit den Namen "SQLSlammer" und "Sapphire" nicht und verändert auch keine Daten auf der Festplatte des infizierten Rechners. Allerdings hat er noch einen zweiten schädlichen Effekt: Durch den durch die Verbreitungsmethode verursachten starken Anstieg des Datenaufkommens können Router und Rechnernetze überlastet werden.

Die Sicherheitslücke im Microsoft SQL-Server 2000 ist schon lange bekannt. Bereits im Juli des letzten Jahres veröffentlichte Microsoft eine entsprechende Warnung und einen Patch. Doch offensichtlich haben es viele Administratoren versäumt, den Patch einzuspielen. Dies ermöglichte dem Wurm die schnelle Verbreitung. Hinzu kommt, daß ein einziges kleines Datenpaket, das an den Server geschickt wird, ausreicht, ihn zu infizieren.

Bei den Datenpaketen handelt es sich um UDP-Pakete, die an den Port 1434, auf dem normalerweise der Microsoft SQL-Server hört, gerichtet sind. Die Verbreitung und die Wirkung des Wurms läßt sich eindämmen, indem man den UDP-Port 1434 an den Eingangsroutern sperrt, die Microsoft SQL-Server rebootet und den Sicherheitspatch oder das SQL-Service-Pack 3 einspielt. Das CERT veröffentlichte eine entsprechende Meldung.

Trotzdem hat allein das durch den Wurm verursachte Datenaufkommen einige Probleme verursacht: Viele Server waren und sind z. T. nicht erreichbar. Internet-Backbones waren überlastet, wie ein Plot des Interdomain-Routing-Systems zeigt. Ebenso war die Fernwartung der Router und Rechner beeinträchtig, was besonders am Wochenende problematisch ist. Durch die fehlende Schadenfunktion und die relativ leichte Eindämmbarkeit ist der Wurm aber nicht besonders gefährlich. Daher wird von einem "Konzept-Wurm" gesprochen. Erste Datenpakete des Wurms wurden bereits am 19. Januar beobachtet. Der Ursprung und Zweck ist aber noch unbekannt.

Auch Fluggesellschaften und Banken seien von dem Auswirkungen des Wurms betroffen gewesen, wie CNN berichtet. Dabei soll es sogar zu Verspätungen und Ausfällen gekommen sein. Bei der Bank of America fielen laut einem Artikel der Washington Post 13.000 Geldautomaten aus. Allerdings ist es schon sehr verwunderlich, daß ein Internet-Wurm das interne Datennetz einer Bank beeinflussen konnte.