Ein SQL-Server-Wurm sorgt derzeit für globale Netzwerkstörungen. Netzwerkadministratoren sollten wenn möglich UDP-Port 1434 temporär sperren.

Betroffene Systeme

• Netzwerkinfrastruktur

Einfallstor
Paket an UDP-Port 1434

Auswirkung
Weiterverbreitung des Wurm was derzeit zu stark erhöhtem Netzverkehr führt.

Typ der Verwundbarkeit
SQL-Server-Wurm

Gefahrenpotential
hoch (massive Netzstörungen durch stark erhöhten Netzverkehr)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Wurm, der eine Pufferüberlaufschwachstelle im Microsoft SQL Server 2000 und der Microsoft Desktop Engine (MSDE) 2000 zur Verbreitung ausnutzt, sorgt für massive Netzstörungen. Netzwerkadministratoren sollten eine temporäre Sperrung von UDP-Port 1434 in Betracht ziehen. Diese Sperrung sollte wenn möglich für ein- und ausgehenden Verkehr gelten. Da zahlreiche Internet Service Provider derzeit ebenfalls die Sperrung von UDP-Port 1434 vornehmen, ist ggf. mit Einschränkungen zu rechnen (falls Dienste UDP-Port 1434 verwenden).

Die Schwachstelle im Microsoft SQL Server 2000 und der Microsoft Desktop Engine (MSDE) 2000, die dieser Wurm offenbar ausnutzt, ist seit Juli 2002 öffentlich bekannt und kann durch einen Patch von Microsoft geschlossen werden (siehe [MS/SQL Server] Pufferüberlaufschwachstelle im SQL Server 2000). Es sei noch darauf hingewiesen, dass dieser Patch ebenfalls Bestandteil des Sicherheitsupdates aus MS02-061 (Q316333) sowie des Service Pack 3 für den Microsoft SQL-Server 2000 ist. Betreiber der Microsoft Desktop Engine (MSDE) 2000 müssen vor der Installation des Sicherheitsupdates (MS02-061 bzw. MS02-039) den Service Pack 2 für MSDE installieren (der Service Pack 3 steht für MSDE derzeit noch nicht zur Verfügung).

Microsoft stellt seit dem 26.01.2003 eine überarbeite Version des Patches MS02-061 zur Verfügung, der eine einfachere Installation gewährleisten soll.

Der Wurm, der derzeit den Namen "DDOS_SQLP1434.A" bzw. "Slammer" erhalten hat, besitzt offenbar keine Schadfunktion (sieht man von den Netzstörungen einmal ab). Somit können infizierte Microsoft Windows 2000 SQL-Server durch einen Neustart des Systems und Installation des entsprechenden Sicherheitsupdates (bzw. Service Pack 3) bereinigt und geschützt werden. Vor dem Neustart sollte der SQL-Server-Dienst abgeschaltet werden und erst nach erfolgreicher Installation des Sicherheitsupdates wieder aktiviert werden.

Es scheint sich bei dem SQL-Server-Wurm um eine Variante des "MSSQL 2000 Remote UDP Exploit" zu handeln. Der Wurm fälscht die Quelladresse nicht.

Mittlerweile stehen einige Scan-Werkzeuge zum Erkennen von potentiell verwundbaren SQL-Servern zur Verfügung:

• ScanSlam - SQLslammer vulnerability scanner (von Robert Graham)
• Retina Sapphire SQL Worm Scanner from eEye Digital Security (eEye)

Weitere Information zu diesem Thema

• CERT® Advisory CA-2003-04 MS-SQL Server Worm (CERT/CC)
• Microsoft SQL Slammer Worm Propagation (ISS)
• UNIRAS - Serious Worm Activity update (UK Govt CERT)
• Microsoft Security Bulletin MS02-039 Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)
• http://www.boredom.org/~cstone/worm-annotated.txt (disassembled code)

Revisionen dieser Meldung

• V.1.0 (2003-01-25)
• V.1.1 (2003-01-25) Hinweise zum Entfernen des Wurms auf infizierten SQL-Servern
• V.1.2 (2003-01-25) Verweis auf disassemblierten Programmcode sowie CERT/CC-Advisory hinzugefügt
• V.1.3 (2003-01-26) Verweis auf MS02-061 sowie zu SQL-Slammer-Scannern hinzugefügt
• V.1.4 (2003-01-26) Mittlerweile stellt Microsoft eine überarbeitete Version des Patches aus MS02-061 zur Verfügung, die eine einfachere Installation gewährleisten soll
• V.1.5 (2003-01-26) Patchanleitung für MSDE

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/