Es werden derzeit vermehrt Verbindungsversuche auf TCP-Port 1433, der von SQL-Server verwendet wird, beobachtet. Diese Verbindungsversuche scheinen von Würmern zu stammen, die Schwachstellen bzw. Fehlkonfigurationen im Microsoft SQL Server zur Verbreitung ausnutzen.

Betroffene Systeme

• Microsoft SQL Server
• Microsoft SQL Server 2000 Desktop Engine (MSDE), die beispielsweise optional mit Access 2000, Visio Enterprise Network Tools, Microsoft Project Central und Visual Studio 6 installiert wird

Einfallstor
MS-SQL-Server-Anfrage (TCP-Port 1433)

Auswirkung
Die Würmer nutzen infizierte Systeme, um weitere Systeme mit verwundbaren SQL-Servern anzugreifen. Ferner werden möglicherweise sensitive Daten (wie die IP-Adresse in Verbindung mit Passworthashes des kompromittierten Systems) per E-Mail versendet und der Guest-Account mit einem zufälligen Passwort versehen.

Typ der Verwundbarkeit

• Konfigurationsfehler ("sa"-Account mit Leerpasswort)
• buffer overflow bug

Gefahrenpotential
sehr hoch (sowohl durch die Pufferüberlaufschwachstellen als auch durch den "sa"-Account mit Leerpasswort ist eine Systemkompromittierung möglich)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Es werden derzeit vermehrt Verbindungsversuche auf den TCP-Port 1433, der von SQL-Server verwendet wird, beobachtet. Es scheinen sich mindestens zwei Varianten von Würmern, die Schwachstellen bzw. Fehlkonfigurationen im Microsoft SQL-Server ausnutzen, zu verbreiten. Es ist derzeit bekannt, dass zumindest einer dieser Würmer den "sa" (system administrator)-Account des SQL-Servers zur Verbreitung ausnutzt, falls dieser mit dem standardmäßigen Leerpasswort versehen ist. Es sei darauf hingewiesen, dass bzgl. des Microsoft SQL-Servers in jüngster Zeit mehrere Pufferüberlaufschwachstellen veröffentlicht wurden. Möglicherweise nutzt einer der Würmer - bzw. zukünftige Wurmvarianten - diese Schwachstellen zur Systemkompromittierung aus.

Bereits infizierte SQL-Server sollten neu installiert werden, da davon ausgegangen werden muss, dass nicht nur der sich nun verbreitende Wurm das System kompromittiert hat, sondern möglicherweise weitere Hintertüren durch Angreifer installiert wurden. Ferner sollten alle auf dem SQL-Server gespeicherten Passwörter geändert werden.

Feststellen der Verwundbarkeit
Mittels netstat -a kann in der (MS-DOS) Eingabeaufforderung (cmd.exe, bzw. command.exe) eine Auflistung aller Verbindungen des Systems ausgegeben werden. Taucht in dieser Liste die TCP-Portnummer 1433 auf, könnte auf diesem System MSDE (bzw. ein SQL-Server) aktiv sein. Es sollte dann gegebenenfalls gemäß http://support.microsoft.com/default.aspx?scid=kb;en-us;Q322336 ein Passwort für den "sa"-Account gesetzt bzw. dieser Dienst deaktiviert/deinstalliert werden .

Feststellen einer möglichen Infizierung des Systems
Die Existenz folgender Dateien

• clemail.exe - Kommandozeilen E-Mail-Programm
• pwdump2.exe - Passwortdump-Programm
• samdump.dll
• timer.dll
• %windir%\system32\drivers\services.exe - Fscan Port Scanner
• sqlexec.js - Javascript um mittels xp_cmdshell Programmcode auf einem SQL-Server über eine Netzwerkverbindung auszuführen
• sqlinstall.bat - Installationsscript
• sqlprocess.js - Javascript mit Scan-/Infektionsbestandteil
• sqldir.js
• run.js

Gegenmaßnahmen

• Setzen sie für den "sa"-Account ein nicht-trivial erratbares Passwort
• Installation der MS SQL-Server Service Packs/Sicherheitsupdates

Weitere Information zu diesem Thema

• Microsoft: PRB: Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a Worm (Q313418)
• Microsoft: HOW TO: Verify and Change the System Administrator Password by Using MSDE (Q322336)
• TrendMicro JS_SQLSPIDA.B
• McAfee JS/SQLSpida.b.worm
• Incidents-Org: SQLsnake code analysis

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/