Großangriff legte Teile des Internets lahm
Heute vormittag ist das Internet weltweit durch eine Online-Attacke in die Knie gegangen.
Ursache war ein Wurm, der eine Sicherheitslücke im Microsoft SQL-Server, einer verbreiteten Datenbanksoftware, ausnutzt. Ähnlich dem bekannten "Code Red" verbreitete sich der Wurm "W32/SQLSlam-A" [Auch "SQLSlammer" oder "Sapphire"] in kürzester Zeit und betraf Server weltweit - wobei die Ausbreitungsgeschwindigkeit sogar einen neuen, unseligen Rekord darstellen dürfte.
"Es sieht allerdings so aus, als wäre das Problem jetzt im Griff", fasst Howard Schmidt, einer der Top-Sicherheitsberater von US-Präsident George W. Bush die derzeitige Lage zusammen. Vor allem die Betreiber der großen interkontinentalen Leitungen und Knotenpunkte hätten ihre Systeme mittlerweile abgesichert.
7:11 Uhr: "Shut it the hell down!"
Die Sicherheitslücke im SQL Server wurde bereits im Juli 2002
entdeckt; viele Systemadministratoren hatten ihre Systeme jedoch
noch nicht gepatcht. Heute früh wurde auf der bekannten
Security-Mailinglist Buqtraq eine Alarmmeldung gepostet. "Shut it
the hell down or make sure it can't access the Internet proper!",
lautet der Kern der Meldung.
Die Warnung auf BuqtraqBandbreiten-Probleme
Doch nicht nur die ungepatchten Systeme bereiteten Probleme - die Attacken, die sich weltweit wie ein Lauffeuer verbreiteten, haben stellenweise die Bandbreiten derart beansprucht, dass der Internetverkehr zum Erliegen kam.
Dies ist offensichtlich darauf zurückzuführen, dass vom Wurm infizierte Server zufällig ausgewählte Adressen mit UDP-Requests "überfluten". Kommt einer dieser Request bei einem ungepatchen SQL-Server an, erzeugt er zunächst einen Buffer Overflow und infiziert danach das System.
Anschließend nutzt der Wurm die komplette Bandbreite des infizierten Rechners, um sich weiter zu verbreiten.
Private Internet-Nutzer bemerkten die Wirkung des bösartigen Programmcodes vor allem an extrem langsamen oder still stehenden Online-Verbindungen, ihre PCs waren in der Regel nicht direkt betroffen.
Microsoft bietet seit Juli einen entsprechenden Securitypatch zum Download an, welcher das Sicherheitsproblem behebt. Dieser Patch funktioniert jedoch nur, wenn auch das Servicepack 2 für MS-SQL-Server installiert ist. Auch Servicepack 3 [seit 17.01.2003 erhältlich] beinhaltet diesen Patch.
Das Microsoft Security Bulletin vom 24. JuliServer belastet
Der Code der Angreifersoftware führte bisweilen tausende Anfragen pro Sekunde aus.
Wie aus den Unterlagen zur Sicherheitslücke zu entnehmen ist, werden nicht nur Bandbreiten, sondern auch die Server selbst sprunghaft belastet.
Die Beschreibung der AttackeAuch Asien betroffen
Auch in Asien - etwa Thailand, Südkorea, Taiwan und Kambodscha - wurde über empfindliche Störungen berichtet.
In Japan war beispielsweise ein öffentlich zugänglicher Universitätscomputer von mehr als 200.000 Datenübertragungen pro Stunde betroffen.
Am schlimmsten soll es in Asien aber das Netz in Südkorea "erwischt" haben, hier kam am Samstagmorgen der reguläre Verkehr fast zum Erliegen.
Der Wurm ist vergleichweise klein [376 Byte], setzt sich ausschließlich im Arbeitsspeicher fest und legt keine Dateien auf der Festplatte an.
Sophos zu "W32/SQLSlam-A"