Windowswurm SQL Server

Sloter · 25.01.2003, 23:12

SQL-Server-Wurm verbreitet sich massiv und sorgt für Netzstörungen
(2003-01-25 13:51:00.410652+01)

Ein SQL-Server-Wurm sorgt derzeit für globale Netzwerkstörungen.
Netzwerkadministratoren sollten wenn möglich UDP-Port 1434 temporär
sperren.

Betroffene Systeme
* Netzwerkinfrastruktur

Einfallstor
Paket an UDP-Port 1434

Auswirkung
Weiterverbreitung des Wurm was derzeit zu stark erhöhtem Netzverkehr
führt.

Typ der Verwundbarkeit
SQL-Server-Wurm

Gefahrenpotential
hoch (massive Netzstörungen durch stark erhöhten Netzverkehr)
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Wurm, der eine Pufferüberlaufschwachstelle im Microsoft SQL-Server
zur Verbreitung ausnutzt, sorgt für massive Netzstörungen.
Netzwerkadministratoren sollten eine temporäre Sperrung von UDP-Port
1434 in Betracht ziehen. Diese Sperrung sollte wenn möglich für ein-
und ausgehenden Verkehr gelten. Da zahlreiche Internet Service
Provider derzeit ebenfalls die Sperrung von UDP-Port 1434 vornehmen,
ist ggf. mit Einschränkungen zu rechnen (falls Dienste UDP-Port 1434
verwenden).

Die Schwachstelle im Microsoft SQL-Server, die dieser Wurm offenbar
ausnutzt, ist seit July 2002 öffentlich bekannt und kann durch einen
Patch von Microsoft geschlossen werden (siehe [2][MS/SQL Server]
Pufferüberlaufschwachstelle im SQL Server 2000).

Weitere Information zu diesem Thema
* [3]Microsoft SQL Slammer Worm Propagation (ISS)
* [4]Microsoft Security Bulletin MS02-039 Buffer Overruns in SQL
Server 2000 Resolution Service Could Enable Code Execution
(Q323875)

Aktuelle Version dieses Artikels
[5]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[6]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
2. http://cert.uni-stuttgart.de/ticker/article.php?mid=898
3. http://bvlive01.iss.net/issEn/delive....jsp?oid=21824
4.
http://www.microsoft.com/technet/tre...n/MS02-039.asp
5. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065
6. http://CERT.Uni-Stuttgart.DE/

Loewe · 26.01.2003, 19:40

Hamburg. DPA/BaZ. Ein so genannter Internet-Wurm hat in der Nacht zum Samstag das Internet weltweit für mehrere Stunden nahezu lahm gelegt. Der Karlsruher Sicherheits- und Virenexperte Christoph Fischer sagte der dpa, der unter dem Namen "W32/SQLSlammer" bekannte Wurm nutze eine Sicherheitslücke im SQL-Datenbankserver von Microsoft, die bereits seit Monaten bekannt sei. Mittlerweile hätten aber vor allem die Betreiber der grossen interkontinentalen Leitungen und Knotenpunkte ihre Systeme abgesichert.
Nach Angaben des Sicherheitsexperten war der Datenverkehr in allen Teilen der Welt gleichermassen stark betroffen. "Der Wurm hat sich ausgebreitet wie ein Flächenbrand, überall war über Stunden nur noch Stillstand", sagte Fischer. Die Software habe so viele unerwünschte Daten über das Netz geschickt, dass die Leitungen unter der Überlastung zusammenbrachen.

Schäden wie bei "Code Red"

Fischer verglich Verbreitungstempo und Schadensausmass von "W32/SQLSlammer" mit den berüchtigten Schädlingen "Nimda" und "Code Red", die 2001 für erhebliche Störungen des Internet sorgten. Das Antivirus-Unternehmen Symantec teilte mit, der Wurm verbreite sich automatisch und sei auch von aktueller Virensoftware nicht zu erkennen.

Der Höhepunkt der jüngsten Attacke war am Samstagabend nach Angaben des Karlsruher Virenexperten bereits überschritten. Angegriffen wurden ausschliesslich grössere Server, auf denen die Microsoft-Datenbanksoftware ohne die jüngsten Sicherheits- Aktualisierungen betrieben wurde. Private Internet-Nutzer bemerkten die Wirkung des bösartigen Programmcodes vor allem an extrem langsamen oder still stehenden Online-Verbindungen, ihre PCs waren in der Regel nicht direkt geschädigt.

jay_R · 27.01.2003, 00:40

http://www.wcm.at/vb2/showthread.php?s=&threadid=86461

25.01.2003, 23:12	#1
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Windowswurm SQL Server SQL-Server-Wurm verbreitet sich massiv und sorgt für Netzstörungen (2003-01-25 13:51:00.410652+01) Ein SQL-Server-Wurm sorgt derzeit für globale Netzwerkstörungen. Netzwerkadministratoren sollten wenn möglich UDP-Port 1434 temporär sperren. Betroffene Systeme * Netzwerkinfrastruktur Einfallstor Paket an UDP-Port 1434 Auswirkung Weiterverbreitung des Wurm was derzeit zu stark erhöhtem Netzverkehr führt. Typ der Verwundbarkeit SQL-Server-Wurm Gefahrenpotential hoch (massive Netzstörungen durch stark erhöhten Netzverkehr) (Hinweise zur [1]Einstufung des Gefahrenpotentials.) Beschreibung Ein Wurm, der eine Pufferüberlaufschwachstelle im Microsoft SQL-Server zur Verbreitung ausnutzt, sorgt für massive Netzstörungen. Netzwerkadministratoren sollten eine temporäre Sperrung von UDP-Port 1434 in Betracht ziehen. Diese Sperrung sollte wenn möglich für ein- und ausgehenden Verkehr gelten. Da zahlreiche Internet Service Provider derzeit ebenfalls die Sperrung von UDP-Port 1434 vornehmen, ist ggf. mit Einschränkungen zu rechnen (falls Dienste UDP-Port 1434 verwenden). Die Schwachstelle im Microsoft SQL-Server, die dieser Wurm offenbar ausnutzt, ist seit July 2002 öffentlich bekannt und kann durch einen Patch von Microsoft geschlossen werden (siehe [2][MS/SQL Server] Pufferüberlaufschwachstelle im SQL Server 2000). Weitere Information zu diesem Thema * [3]Microsoft SQL Slammer Worm Propagation (ISS) * [4]Microsoft Security Bulletin MS02-039 Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875) Aktuelle Version dieses Artikels [5]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065 Hinweis Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet. Copyright © 2003 RUS-CERT, Universität Stuttgart, [6]http://CERT.Uni-Stuttgart.DE/ References 1. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen 2. http://cert.uni-stuttgart.de/ticker/article.php?mid=898 3. http://bvlive01.iss.net/issEn/delive....jsp?oid=21824 4. http://www.microsoft.com/technet/tre...n/MS02-039.asp 5. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065 6. http://CERT.Uni-Stuttgart.DE/

26.01.2003, 19:40	#2
Loewe Inventar Registriert seit: 15.04.2000 Alter: 54 Beiträge: 2.556	So kommt auch ein dau mit :) Hamburg. DPA/BaZ. Ein so genannter Internet-Wurm hat in der Nacht zum Samstag das Internet weltweit für mehrere Stunden nahezu lahm gelegt. Der Karlsruher Sicherheits- und Virenexperte Christoph Fischer sagte der dpa, der unter dem Namen "W32/SQLSlammer" bekannte Wurm nutze eine Sicherheitslücke im SQL-Datenbankserver von Microsoft, die bereits seit Monaten bekannt sei. Mittlerweile hätten aber vor allem die Betreiber der grossen interkontinentalen Leitungen und Knotenpunkte ihre Systeme abgesichert. Nach Angaben des Sicherheitsexperten war der Datenverkehr in allen Teilen der Welt gleichermassen stark betroffen. "Der Wurm hat sich ausgebreitet wie ein Flächenbrand, überall war über Stunden nur noch Stillstand", sagte Fischer. Die Software habe so viele unerwünschte Daten über das Netz geschickt, dass die Leitungen unter der Überlastung zusammenbrachen. Schäden wie bei "Code Red" Fischer verglich Verbreitungstempo und Schadensausmass von "W32/SQLSlammer" mit den berüchtigten Schädlingen "Nimda" und "Code Red", die 2001 für erhebliche Störungen des Internet sorgten. Das Antivirus-Unternehmen Symantec teilte mit, der Wurm verbreite sich automatisch und sei auch von aktueller Virensoftware nicht zu erkennen. Der Höhepunkt der jüngsten Attacke war am Samstagabend nach Angaben des Karlsruher Virenexperten bereits überschritten. Angegriffen wurden ausschliesslich grössere Server, auf denen die Microsoft-Datenbanksoftware ohne die jüngsten Sicherheits- Aktualisierungen betrieben wurde. Private Internet-Nutzer bemerkten die Wirkung des bösartigen Programmcodes vor allem an extrem langsamen oder still stehenden Online-Verbindungen, ihre PCs waren in der Regel nicht direkt geschädigt. ____________________________________ Gerade weil wir alle in einem Boot sitzen, sollten wir heilfroh darüber sein, daß nicht alle auf unserer Seite stehen.

27.01.2003, 00:40	#3
jay_R Inventar Registriert seit: 20.11.2002 Beiträge: 3.081	http://www.wcm.at/vb2/showthread.php?s=&threadid=86461 ____________________________________ MfG - jay_R

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)