Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1065

[Generic/IP] SQL-Server-Wurm verbreitet sich massiv und sorgt für Netzstörungen (Update)
(2003-01-25 12:51:00.410652+00) Druckversion


Ein SQL-Server-Wurm sorgt derzeit für globale Netzwerkstörungen. Netzwerkadministratoren sollten wenn möglich UDP-Port 1434 temporär sperren.

Betroffene Systeme

  • Netzwerkinfrastruktur

Einfallstor
Paket an UDP-Port 1434

Auswirkung
Weiterverbreitung des Wurm was derzeit zu stark erhöhtem Netzverkehr führt.

Typ der Verwundbarkeit
SQL-Server-Wurm

Gefahrenpotential
hoch (massive Netzstörungen durch stark erhöhten Netzverkehr)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Wurm, der eine Pufferüberlaufschwachstelle im Microsoft SQL Server 2000 und der Microsoft Desktop Engine (MSDE) 2000 zur Verbreitung ausnutzt, sorgt für massive Netzstörungen. Netzwerkadministratoren sollten eine temporäre Sperrung von UDP-Port 1434 in Betracht ziehen. Diese Sperrung sollte wenn möglich für ein- und ausgehenden Verkehr gelten. Da zahlreiche Internet Service Provider derzeit ebenfalls die Sperrung von UDP-Port 1434 vornehmen, ist ggf. mit Einschränkungen zu rechnen (falls Dienste UDP-Port 1434 verwenden).

Die Schwachstelle im Microsoft SQL Server 2000 und der Microsoft Desktop Engine (MSDE) 2000, die dieser Wurm offenbar ausnutzt, ist seit Juli 2002 öffentlich bekannt und kann durch einen Patch von Microsoft geschlossen werden (siehe [MS/SQL Server] Pufferüberlaufschwachstelle im SQL Server 2000). Es sei noch darauf hingewiesen, dass dieser Patch ebenfalls Bestandteil des Sicherheitsupdates aus MS02-061 (Q316333) sowie des Service Pack 3 für den Microsoft SQL-Server 2000 ist. Betreiber der Microsoft Desktop Engine (MSDE) 2000 müssen vor der Installation des Sicherheitsupdates (MS02-061 bzw. MS02-039) den Service Pack 2 für MSDE installieren (der Service Pack 3 steht für MSDE derzeit noch nicht zur Verfügung).

Microsoft stellt seit dem 26.01.2003 eine überarbeite Version des Patches MS02-061 zur Verfügung, der eine einfachere Installation gewährleisten soll.

Der Wurm, der derzeit den Namen "DDOS_SQLP1434.A" bzw. "Slammer" erhalten hat, besitzt offenbar keine Schadfunktion (sieht man von den Netzstörungen einmal ab). Somit können infizierte Microsoft Windows 2000 SQL-Server durch einen Neustart des Systems und Installation des entsprechenden Sicherheitsupdates (bzw. Service Pack 3) bereinigt und geschützt werden. Vor dem Neustart sollte der SQL-Server-Dienst abgeschaltet werden und erst nach erfolgreicher Installation des Sicherheitsupdates wieder aktiviert werden.

Es scheint sich bei dem SQL-Server-Wurm um eine Variante des "MSSQL 2000 Remote UDP Exploit" zu handeln. Der Wurm fälscht die Quelladresse nicht.

Mittlerweile stehen einige Scan-Werkzeuge zum Erkennen von potentiell verwundbaren SQL-Servern zur Verfügung:

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2003-01-25)
  • V.1.1 (2003-01-25) Hinweise zum Entfernen des Wurms auf infizierten SQL-Servern
  • V.1.2 (2003-01-25) Verweis auf disassemblierten Programmcode sowie CERT/CC-Advisory hinzugefügt
  • V.1.3 (2003-01-26) Verweis auf MS02-061 sowie zu SQL-Slammer-Scannern hinzugefügt
  • V.1.4 (2003-01-26) Mittlerweile stellt Microsoft eine überarbeitete Version des Patches aus MS02-061 zur Verfügung, die eine einfachere Installation gewährleisten soll
  • V.1.5 (2003-01-26) Patchanleitung für MSDE

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.