26.01.2003

WURMES WUT

Bildquelle: fuZo

Wie "SQL-Slammer" eingeschlagen hat

Die Auswirkungen des Wurms "SQLSlammer" waren für kurze Zeit enorm, obwohl der Wurm überhaupt keine destruktive Payload hatte.

Der Wurm nutzte eine Sicherheitslücke in der Microsoft-Datenbanksoftware "SQL Server", die allerdings bereits seit Juli 2002 bekannt war. Viele Systemadministratoren hatten auf ein Update verzichtet und waren daher dem Angreifer schutzlos ausgeliefert.

Für User hatte das zur Folge, dass Seiten nur langsam oder gar nicht abgerufen werden konnten - ausgelöst entweder durch Bandbreitenverstopfung oder schlicht Überlastung der angegriffenen Server.

Routing plus 300 Prozent
Wie extrem dieser Angriff ausfiel, zeigt die Usage-Statistik von Eunet Austria am Samstag. Vom Routing-Aufwand sei durchschnittlich vier Mal so viel Verkehr gewesen wie an einem normalen Wochentag, schreibt Georg Chytil, technischer Leiter EUnet-AG. Eunet blieb durch eine Kombination von "viel Holz vor der Hütte" und jeweils gut abgesicherte Kunden insgesamt ohne Beeinträchtigungen. Die Spitze beginnt in der Nacht auf Samstag um 24.00.

Großangriff legte Teile des Internets lahm

Vor allem Asien betroffen

Joe Pichlmayr, Chef des österreichischen Antiviren-Spezialisten Ikarus, hat die Vorfälle seit dem Ausbruch des Wurms beobachtet. "Am schlimmsten

betroffen war der gesamte pazifische Raum - einschließlich Südkorea -, wo die meisten lokalen Internet-Services über Stunden nicht erreichbar waren. Auch in Japan und Indien wurden starke Effekte registriert", so Pichlmayr zur futureZone.

Ikarus Software

Wie der Wurm angreift

Ein Programmierer namens C. Stone hat den Wurm abgefangen und analysiert. Er besteht aus nur 376 Byte Code und passt dadurch in ein einziges UDP-Datenpaket. "SQLSlammer" nützt eine bekannte SQL-Server-Sicherheitslücke, um sich im Speicher des Opferservers zu installieren. Von dort aus greift er weitere Server an, was zu der Kettenreaktion führte, die innerhalb kürzester Zeit Server und Leitungen verstopfte.

"Erstaunlich ist, dass der 'Slammer'-Wurm das gleiche Angriffsverhalten wie schon der vor zwei Jahren aktive 'CodeRed'-Wurm aufweist und dabei eine Sicherheitslücke ausnützt, die mittlerweile schon seit Juli 2002 bekannt ist", sagt Pichlmayr. "Diese Sicherheitslücke nutzt der Virus dazu, um sich mit einer so genannten 'Buffer-Overflow'-Attacke im Speicher des betroffenen Servers zu initialisieren und von dort nach anderen 'ungepatchten' Servern im Netz zu suchen".

"Slammer" befällt ausschließlich den Microsoft SQL Server 2000 und die Microsoft Desktop Engine [MSDE] 2000, auf denen kein aktueller Patch installiert wurde.

Bingo - bongo

Und so sah eine Verkehrsstatistik zum fraglichen Zeitpunkt aus. Verkürzt gesagt: gesehen von einem Ethernet zwischen Serverhousing und Internet, in Richtung Internet. Die Explosion des UDP-Verkehrs beim Eingangsrouter und ein Router in einem Subnetz, hinter dem ein getroffener MS-SQL-Server hängt.

Downloadarea bei MS ging in die Knie

Dass der Wurm auch die MSDE befällt, wurde ausgerechnet Microsoft selbst zum Verhängnis. Zwar befinden sich deren Webserver auf dem allerneuesten Stand, im Microsoft-eigenen Netzwerk allerdings waren Dutzende Rechner dem Wurm schutzlos ausgeliefert.

"Sehr viele IP-Adressen stammen bei MS aus dem öffentlichen Bereich. In unseren Firewall-Logs sind Dutzende IP-Adressen zu finden, die für MS registriert sind", erklärt Pichlmayr. Die darauf folgende Leitungsüberlastung betraf ausgerechnet den Downloadbereich von Microsoft, wo unter anderem der Patch gegen den Wurm bereitlag.

Nachdem Systemadministratoren weltweit hektisch ihre Patches eingespielt, Internet-Provider den betroffenen Kunden die Leitungen abgedreht oder ihre Firewall neu konfiguriert haben, ist nach Einschätzung von Pichlmayr der Spuk vorerst zu Ende. "Mit ziemlicher Sicherheit kann man nun aber mit Nachahmern rechnen, die sich neue Wege einfallen lassen, einen ähnlichen Wurm zu verbreiten."

Für PC-User gibt es wenig Grund zur Sorge. Der Wurm selbst infiziert ausschließlich die oben genannten Server und gelangt nicht wie andere Viren via E-Mail auf Client-Systeme. "Der Virus bleibt sogar ausschließlich im Speicher der infizierten Server und schreibt sich nicht auf die Festplatte der betroffenen Systeme", so Pichlmayr. Dadurch werde es von vielen Virenschutzprogrammen nicht erkannt. "Ein einfacher Serverneustart jedoch löscht das Virus zuverlässig aus dem Speicher, und ein Einspielen des Patches verhindert eine Neuinfektion."