Board Of Metal Smalltalk und Diverses Smalltalk v Sicherheitsluecke

Hallo, Gast! Registrieren

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Ansichts-Optionen
Sicherheitsluecke
Psychotoxic
Gast
 
#2
25.01.2003, 22:07
Nachschlag:

Zitat:SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic

Ein neuer Wurm namens SQLSlammer sorgt seit vergangener Nacht weltweit fuer massives Traffic-Aufkommen. 

Internet Security Systems hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine hoehere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann.

SQLSlammer verbreitet sich, indem er ein speziell praepariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Fuer diese Anfaelligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch, der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde.

Nachdem der Wurm die Kontrolle ueber den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufaellig ausgewaehlte IP-Adressen ueber den UDP-Port 1434 in einer endlosen Schleife zu infizieren. Der Schaedling residiert dabei nur im Arbeitsspeicher, legt also keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives Aufkommen an Traffic.

Toralv Dirro vom Antiviren-Unternehmen Network Associates sieht den Schaedling als einen der gefaehrlichsten Wuermer an, der sich je im Internet verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm verbreitet. Wir beobachten seit gestern weltweit massive Beeintraechtigungen im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhoehten Traffic ausgefallen." Wegen der schnellen Verbreitung koennen AV-Unternehmen momentan auch immer noch nicht sagen, von wo der Schaedling sich urspruenglich ausbreitete.

Network Associates will in Kuerze ein Stand-Alone-Tool zur Verfuegung stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop Engine 2000 installiert haben, sollten dringend ueberpruefen, ob der oben erwaehnte Patch aus dem Microsoft Security Bulletin MS02-39 eingespielt ist. (pab/c't)
Antworten


Nachrichten in diesem Thema
Sicherheitsluecke - von Psychotoxic - 25.01.2003, 22:05

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste