RUS-CERT-489 – Archivierte Meldung

Meldung Nr: RUS-CERT-489

[MS/MSDE] Leeres Administrator-Paßwort
(2001-09-24 13:15:54+00)

Quelle: http://www.heise.de/newsticker/data/hos-22.09.01-001/

Die Microsoft SQL Server Database Engine (MSDE) installiert einen TCP-Server und setzt ein leeres Paßwort für den Datenbank-Administrator. MSDE wird auch von Drittherstellern verwendet.

Betroffene Systeme

Systeme, auf denen die Microsoft SQL Server Database Engine (MSDE) installiert ist.

Achtung: MSDE wird möglicherweise von anderen Installationsprogrammen mitinstalliert, ohne daß das für den Anwender offensichtlich wäre.

Einfallstor
TCP-Verbindungen auf Port 1433

Auswirkung
Kompromittierung des Datenbank-Administrator-Accounts und mittelbar möglicherweise des ganzen Systems

Typ der Verwundbarkeit
voreingestelltes (leeres) Paßwort

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Microsoft SQL Server Database Engine (MSDE) lauscht nach ihrem Start auf TCP-Port 1433 auf Datenbankanfragen. Bei der Installation wird lediglich ein leeres Paßwort für den Administrator-Account festgelegt, so daß ein Angreifer, der TCP-Verbindungen zu diesem Port aufbauen kann, beliebigen Code mit den Rechten des Datenbank-Administrators ausführen kann. (Eine ähnliche Schwachstelle im richtigen Microsoft SQL Server führte vor einiger Zeit zur Erlangung wichtiger Daten des World Economic Forums.) MSDE wird auch von einigen Anwendungen von Drittherstellern benötigt und kann auch vom Microsoft-Office-Installationsprogramm eingespielt werden. Mittels des Befehles netstat -an | more kann ermittelt werden, ob auf einem System ein SQL Server von Microsoft läuft (der Port 1433 wird in diesem Fall mit dem Status LISTEN aufgeführt). In diesem Fall sind die unten genannten Gegenmaßnahmen zu ergreifen.

Gegenmaßnahmen

Im Heise-Newsticker wird das Ausführen des Programms osql im Binn-Verzeichnis mit speziellen Parametern empfohlen, um das Paßwort umzustellen:
```
osql -U sa -Q "sp_password NULL, 'geheim'"
```

Weitere Information zu diesem Thema

Ermöglichte Microsoft-Unhöflichkeit den Hack? (WoZ-Online)
Weltwirtschaftsforums-Hack war Spaziergang durch offenes Scheunentor (Telepolis)

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=489