SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic

#1 Ein neuer Wurm namens SQLSlammer [http://vil.nai.com/vil/content/v_99992.htm] sorgt seit vergangener Nacht weltweit für massives Traffic-Aufkommen [http://www.heise.de/newsticker/data/wst-25.01.03-001/].

Internet Security Systems [http://www.iss.net/security_center/] hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine höhere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann.

SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Für diese Anfälligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch[http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp], der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde.

Nachdem der Wurm die Kontrolle über den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufällig ausgewählte IP-Adressen über den UDP-Port 1434 in einer endlosen Schleife zu infizieren. Der Schädling residiert dabei nur im Arbeitsspeicher, legt also keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives Aufkommen an Traffic.

Toralv Dirro vom Antiviren-Unternehmen Network Associates [http://www.nai.com/] sieht den Schädling als einen der gefährlichsten Würmer an, der sich je im Internet verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm verbreitet. Wir beobachten seit gestern weltweit massive Beeinträchtigungen im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhöhten Traffic ausgefallen." Wegen der schnellen Verbreitung können AV-Unternehmen momentan auch immer noch nicht sagen, von wo der Schädling sich ursprünglich ausbreitete.

Network Associates will in Kürze ein Stand-Alone-Tool zur Verfügung stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop Engine 2000 installiert haben, sollten dringend überprüfen, ob der oben erwähnte Patch aus dem Microsoft Security Bulletin MS02-39 [http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp] eingespielt ist.

#2 noch ein informativer link zu diesem thema:

http://portale.web.de/Internet/Viren/

#3 ...man merkt's heute sind echt eine Menge Webseiten nicht erreichbar!

...der Wurm spricht mal wieder für sich!

#4 Auch dazu gibt es schon einen Thread: http://board.protecus.de/t2705.htm

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Ein Scanner kann feststellen ob ein System gefährdet ist: http://www.eeye.com/html/Research/Tools/SapphireSQL.html er kann den Wurm aber momentan nicht entfernen. Für die BEseitigung der Lücke gibt es SP 3 für SQL Server und einen entsprechenden Standalone Patch!

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 War "MS SQL" nicht auf dem Port 1433?
Ansonsten kann ich nur sagen das jeder selber schuld ist, wenn er einen MS SQL laufen lässt.
Grund : Der MS SQL gehört zu denn 10 Meist angegriffenen Systemen wenn es darum geht Webspace (WAREZ-FTPs) zu bekommen.

Baut lieber einen Apache und MYSQL auf

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#7 @poiin: Da kannst Du aber (wie fast immer) nicht dem Produkt, sondern den schlampigen Administratoren (oder gleich der Personalabteilung) einen Vorwurf machen. Wie Du schon sagst: "90% aller Fehler sitzen 60 cm vor dem Bildschirm" - das ist bei vielen Admins nicht anders, grad im Windows-Bereich - da stellt man Leute ein, die keine Ahnung haben, weil Windows ja so einfach und simpel ist - ist ja nur klicken.

Ein schlecht gewarteter Apache und MySQL ist genauso anfällig!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 zum Thema schlampige Admins:

Peinlich, peinlich. Microsoft wurde am Wochenende auch Opfer des Slammer-Wurms. Der bereits im vergangenen Jahr veröffentlichte Patch war also auch bei Microsoft nicht installiert. Nach Meinung des Wall Street Journal ein weiterer Hinweis, dass der von Microsoft angebotene Prozess der Fehlerbeseitigung selbst komplett fehlerhaft ist.

Wall Street Journal: Microsoft Is Exposed to Worm That Exploits Its Own Software
http://online.wsj.com/article/0,,SB1043722017447546104,00.html
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Klage wg. Slammer-Wurm
03.02.2003

Die (süd-) koreanische Bürgerpartei "People's Solidarity for Participatory Democracy" (PSPD) erwägt eine Sammelklage gegen Microsoft. Den Anlass für die Klage lieferte der Angriff des Slammer-Wurms, der am 25 Januar einsetzte. Bereits mehr als 3.000 Nutzer von Breitband-Anschlüssen sollen ihre Bereitschaft zur Beteiligung an der Sammelklage erklärt haben.

Die gesetzliche Grundlage für die Klage liefert ein im vergangenen Jahr eingeführtes Gesetz, das die Herstellerhaftung im Schadensfall regelt. Insbesondere wird Microsoft vorgeworfen, seine Kunden nicht hinreichend über das Problem informiert zu haben.

Das Unternehmen habe zwar entsprechende Informationen veröffentlicht. Doch nach Ansicht der Kläger war das nicht genug im Sinne der gesetzlich definierten Anforderungen. Die Kläger verweisen darauf, dass Microsoft in diesem Fall immerhin über eine Liste der Kunden beziehungsweise ihrer Server verfügt habe.


The Korea Times: Civic Group Considers Pressing Charges Against Microsoft for Internet Crash
http://times.hankooki.com/lpage/nation/200302/kt200302031802 1611960.htm

[Quelle: intern.de]
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#10 Jeder Rechner mit Fester IP sollte eine Firewall haben.
Jeder Dienst darauf sicher eingerichtet sein ...

aber leider ist es wirklich die Traurige Wahrheit das viele kleine und mittelgroßen Firmen eine extrem Schlechte Firmenpolitik haben.

Die billigen Deizierten Server z.B. 1und1 sind auch sehr anfällig.

Auf der einen Seite gibts es Konzerne mit einer Riesen Sicherheit ... diese übertreiben es teilweiße und auf der anderen eine völlige Vernachlässigung ... liegt aber meistens am Unqualifiziertem Personal

Prinzipell kann ich aber sagen das Linux-Produkte besser abgesichert sind als MS.
Liegt einfach daran das an Linuxrechnern doch mehr Fortgeschrittene User sitzen als an WinServern (% gesehen).

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#11 - harte Tobak mein Freund

Code

Prinzipell kann ich aber sagen das Linux-Produkte besser abgesichert sind als MS.
Liegt einfach daran das an Linuxrechnern doch mehr Fortgeschrittene User sitzen als an WinServern (% gesehen).

Aber leider hast Du wohl recht - viele Leute denken, daß Windows ja so schön einfach und ja nur zum Klicken ist, da kann das jeder, der Computer schreiben kann. Genau das ist falsch - ich weiß wovon ich rede - ich habe jeden Tag mit solchen Leuten zu tun, die denken, daß sie tolle ´Systemtechniker sind

Also, obwohl man meist nur klicken muß, muß man auch wissen wohin und einschätzen können wie die Auswirkungen sind.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#12 Daran wird sich auch leider nichts ändern.
Die Personalkosten für einen Netz/Sysadmin für eine 25% Stelle übertreffen 500-1000€ im Monat.
Je nach Ausbildung Erfahrung und Wissen.

Welcher Kleinbetrieb kann sich denn schon soetwas leisten?
Da nimmt man lieber denn etwas Begabten Sohn vom Vorarbeiter Maier.
Der macht das auch für 50€ im Monat.

(Das ist eine Tatsache ... Ich kenne min. 3 Fälle wo dies der Fall ist ... und wo eine Fachkraft auch genügend arbeit hätte)

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#13 Ich weiß ... das ist ja das Dilemma - aber wenn es knallt, dann sehen die was sie davon haben - keine Angst - das rächt sich.

Wer keine Ahnung von IT hat, sollte diese outsourcen und so ordentliche Leistungen für angemessene Kohle bekommen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#14 Aber auch wenns knallt können die Sicherheitslücken nicht geschlossen werden, da Fachkräfte fehlen ...


Ich habe mal was erlebt.

Bekannter : "Wir haben das beste vom besten in unserem Netzwerk für die Sicherheit einrichten lassen."

Später stellt sich herraus das dieses System seit 2-3 Jahren nicht gepflegt wurde.
Es wurde beinahe Perfekt eingerichtet ... aber danach nicht mehr gewartet ... ein Sicherheitssystem lebt!

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#15 Klasse - aber ein solcher "Experte" ist halt günstiger.....

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...