Urhebersuche nach Wurm-Angriff
Nachdem am Samstagvormittag der Wurm "W32/SQLSlam-A" den Internet-Verkehr weltweit ernsthaft beinträchtigt hat, gehen heute die Aufräumarbeiten weiter. Gleichzeitig beginnt die Suche nach dem Urheber.
"W32/SQLSlam-A" [auch "SQLSlammer" oder "Sapphire"] hat sich in kürzester Zeit verbreitet und betraf Server weltweit, wobei die Ausbreitungsgeschwindigkeit sogar die von "Code Red" in den Schatten gestellt haben dürfte. Kaspersky Labs spricht in einer ersten Reaktion beispielsweise vom "größten weltweiten Virenausbruch".
Zuerst aufgetaucht ist der Wurm in Hongkong, wo heute das staatliche "Computer Emergency Response Team" die Suche nach dem Urheber aufgenommen hat - allerdings ohne allzu große Hoffnung auf einen schnellen Erfolg:
"Die Herkunft des Wurms herauszufinden ist genauso schwer wie zu bestimmen, welcher Teil eines Flusses auf welchen Tropfen aus der Quelle zurückzuführen ist", beschreibt ein Mitglied des Teams die mühsame Suche recht blumig.
Der Wurm nutzte eine Sicherheitslücke in der Microsoft-Datenbanksoftware "SQL Server", die allerdings bereits seit Juli 2002 bekannt war. Viele Systemadministratoren hatten auf ein Update verzichtet und waren daher dem Angreifer schutzlos ausgeliefert.
Großangriff legte Teile des Internets lahmBörsen in Südkorea beeinträchtig
Die gravierendsten Auswirkungen hatte der Wurm auf das Netz in Südkorea, hier kam am Samstagvormittag der reguläre Verkehr fast zum Erliegen.
Die Ursache hierfür wird einerseits in der hohen Verbreitung von Breitbandzugängen gesehen, andererseits sollen in Südkorea aber auch besonders viele Server [angeblich 60 Prozent] ohne den Schutz einer Firewall mit dem Netz verbunden sein.
Heute Früh war in Südkorea der Börsenhandel sowohl durch die Nachrüstung von Servern als auch durch das Misstrauen vieler Anleger noch erheblich eingeschränkt. Das Handelsvolumen fiel auf ein 13-Monats-Tief.
Als Konsens gilt allerdings, dass die Wurm-Attacke an einem Werktag erheblich mehr Schäden angerichtet hätte, als das jetzt der Fall war.
Südkoreas Polizei hat ebenfalls eine Untersuchung der Attacke eingeleitet.
Wie "SQL-Slammer" eingeschlagen hatMicrosoft rüstet nach
Microsoft hat unterdessen einen Patch für SQL Server 2000, SQL Server 7.0, Microsoft Data Engine 1.0 und Microsoft Desktop Engine 2000 neu aufgelegt.
Der bereits im Oktober 2002 aufgelegte Patch hilft gegen Angriffe des aktuell kursierenden "Slammer"-Wurms und seiner Variante "Helkern". Neu im Patch ist eine Installationsroutine, die hilft, den Patch selbst und einen zugehörigen Hotfix einzuspielen. Die Installation des Patch, ob neue oder erste Version, wird von Microsoft dringend empfohlen.
Dass der Wurm auch die MSDE befällt, wurde am Wochenende ausgerechnet Microsoft selbst zum Verhängnis. Zwar befinden sich deren Webserver auf dem allerneuesten Stand, im Microsoft-eigenen Netzwerk waren allerdings Dutzende Rechner dem Wurm schutzlos ausgeliefert.
Neben der hinzugefügten Installationshilfe beseitigt der Patch nach Microsoft-Angaben auch ein Problem im Zusammenspiel mit SQL-Server, das nicht sicherheitsrelevant ist. Der Hotfix - der in einem Knowledgebase-Artikel beschrieben ist - war bisher als separater Download erhältlich.
Security Bulletin MS02-061