Sicherheitsluecke

[Psychotoxic]

Zahlreichen Berichten zufolge nutze ein boesartiger Wurm eine bereits bekannte Sicherheitsluecke in Microsofts SQL-Server 2000 aus. Der Wurm starte eine Art DoS-Attacke, um weitere Server zu beeintraechtigen.
Der Wurm treibe seit heute Vormittag sein Unwesen, berichtet heise online. Viele Webhoster haben mit teilweise massiven Stoerungen zu kaempfen. Betroffen waren unter anderem der Allgaeuer Hoster Domainfactory und die united-domains AG, deren Website z.T. ueber Stunden nicht erreichbar war.

Der sich schnell verbreitende Wurm habe den Zugang von rund 22.000 Servern erschwert, berichtet Spiegel Online. Der Wurm breche in die Server ein und versuche sich zu verbreiten, erklaere ein Experte von Symantec. Durch die massenhafte Reproduktion des Wurms werde das Datenaufkommen stark erhoeht.

Die Sicherheitsluecke, die der Wurm nutzt sei seit einem halben Jahr bekannt. Ein entsprechendes Patch hatte Micorsoft erst kuerzlich zum Download zur Verfuegung gestellt, jedoch haetten viele Firmen noch nicht nachgeruestet, heisst es bei Spiegel Online weiter.

Die Auswirkungen der Attacke seien weltweit zu spueren. So seien z.B. in Sued-Korea Internet-Anbieter im ganzen Land fuer Stunden gezwungen gewesen den Betrieb einzustellen. Auch in Thailand, Japan, Malaysia, Indien und auf den Philippinen sei es zu Ausfaellen gekommen.

Der Angriff wirkte sich auch spuerbar auf die Erreichbarkeit von all 4 homepages.de und den zur Verfuegung gestellten Diensten aus. Die Domains von all 4 homepages.de sind bei united-domains gehostet, deren Namensserver offenbar nur schlecht erreichbar waren.

Der Wurm beschwert auch den Emailverkehr. So sind etliche Emails an uns heute erst mit einigen Stunden Verspaetung angekommen und wurden zum Teil an den Absender mit einem Fehler-Hinweis zurueckgesandt. Den Verlust von Emails an uns koennen wir nicht aufgrund der genannten Probleme nicht ausschliessen.

Und ich hab mich heute wirklich gefragt, warum so viele Webseiten platt waren.

[Psychotoxic]

Nachschlag:

SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic

Ein neuer Wurm namens SQLSlammer sorgt seit vergangener Nacht weltweit fuer massives Traffic-Aufkommen. 

Internet Security Systems hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine hoehere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann.

SQLSlammer verbreitet sich, indem er ein speziell praepariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Fuer diese Anfaelligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch, der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde.

Nachdem der Wurm die Kontrolle ueber den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufaellig ausgewaehlte IP-Adressen ueber den UDP-Port 1434 in einer endlosen Schleife zu infizieren. Der Schaedling residiert dabei nur im Arbeitsspeicher, legt also keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives Aufkommen an Traffic.

Toralv Dirro vom Antiviren-Unternehmen Network Associates sieht den Schaedling als einen der gefaehrlichsten Wuermer an, der sich je im Internet verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm verbreitet. Wir beobachten seit gestern weltweit massive Beeintraechtigungen im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhoehten Traffic ausgefallen." Wegen der schnellen Verbreitung koennen AV-Unternehmen momentan auch immer noch nicht sagen, von wo der Schaedling sich urspruenglich ausbreitete.

Network Associates will in Kuerze ein Stand-Alone-Tool zur Verfuegung stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop Engine 2000 installiert haben, sollten dringend ueberpruefen, ob der oben erwaehnte Patch aus dem Microsoft Security Bulletin MS02-39 eingespielt ist. (pab/c't)

[braindad]

yupp, ist schon recht stark in gewicht gefallen. hab erst gedacht, mein browser/sysztem spinnt mal wieder rum

[JoeyDeMaio]

Yup...hatte auch troubles...ftp und aj liefern einwandfrei, aber http war im Arsch.

McAfee hat ein StandAlone-Scanner drausen um diesen Virus zu elimieren, falls einer von euch Sql-Server laufen hat

[Psychotoxic]

SQL Server ja, aber kein Winzigweich sondern funktionierende Ware

[JoeyDeMaio]

SQL Server ja, aber kein Winzigweich sondern funktionierende Ware

Wart´s ab bis Linux populaerer wird

[Zed Yago]

Hatte den Wurm bei mir, dachte erst, mein Modem sei abgekuebelt, aber SP3 drauf, Firewall upgedated und warten auf den naechsten...

ZY