Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-818

[MS/SQL] Wurm nutzt fehlkonfigurierte SQL-Server zur Verbreitung aus
(2002-05-21 21:34:59.606378+00)

Quelle: http://CERT.Uni-Stuttgart.DE/archive/ntbugtraq/2002/05/msg00030.html

Es werden derzeit vermehrt Verbindungsversuche auf TCP-Port 1433, der von SQL-Server verwendet wird, beobachtet. Diese Verbindungsversuche scheinen von Würmern zu stammen, die Schwachstellen bzw. Fehlkonfigurationen im Microsoft SQL Server zur Verbreitung ausnutzen.

Betroffene Systeme

Einfallstor
MS-SQL-Server-Anfrage (TCP-Port 1433)

Auswirkung
Die Würmer nutzen infizierte Systeme, um weitere Systeme mit verwundbaren SQL-Servern anzugreifen. Ferner werden möglicherweise sensitive Daten (wie die IP-Adresse in Verbindung mit Passworthashes des kompromittierten Systems) per E-Mail versendet und der Guest-Account mit einem zufälligen Passwort versehen.

Typ der Verwundbarkeit

Gefahrenpotential
sehr hoch (sowohl durch die Pufferüberlaufschwachstellen als auch durch den "sa"-Account mit Leerpasswort ist eine Systemkompromittierung möglich)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Es werden derzeit vermehrt Verbindungsversuche auf den TCP-Port 1433, der von SQL-Server verwendet wird, beobachtet. Es scheinen sich mindestens zwei Varianten von Würmern, die Schwachstellen bzw. Fehlkonfigurationen im Microsoft SQL-Server ausnutzen, zu verbreiten. Es ist derzeit bekannt, dass zumindest einer dieser Würmer den "sa" (system administrator)-Account des SQL-Servers zur Verbreitung ausnutzt, falls dieser mit dem standardmäßigen Leerpasswort versehen ist. Es sei darauf hingewiesen, dass bzgl. des Microsoft SQL-Servers in jüngster Zeit mehrere Pufferüberlaufschwachstellen veröffentlicht wurden. Möglicherweise nutzt einer der Würmer - bzw. zukünftige Wurmvarianten - diese Schwachstellen zur Systemkompromittierung aus.

Bereits infizierte SQL-Server sollten neu installiert werden, da davon ausgegangen werden muss, dass nicht nur der sich nun verbreitende Wurm das System kompromittiert hat, sondern möglicherweise weitere Hintertüren durch Angreifer installiert wurden. Ferner sollten alle auf dem SQL-Server gespeicherten Passwörter geändert werden.

Feststellen der Verwundbarkeit
Mittels netstat -a kann in der (MS-DOS) Eingabeaufforderung (cmd.exe, bzw. command.exe) eine Auflistung aller Verbindungen des Systems ausgegeben werden. Taucht in dieser Liste die TCP-Portnummer 1433 auf, könnte auf diesem System MSDE (bzw. ein SQL-Server) aktiv sein. Es sollte dann gegebenenfalls gemäß http://support.microsoft.com/default.aspx?scid=kb;en-us;Q322336 ein Passwort für den "sa"-Account gesetzt bzw. dieser Dienst deaktiviert/deinstalliert werden .

Feststellen einer möglichen Infizierung des Systems
Die Existenz folgender Dateien

kann ein Hinweis auf den Befall mit einem SQL-Server-Wurm sein.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=818