Web

"Slammer" befällt SQL Server und legt Internet lahm

27.01.2003
Ein nur 376 Byte großer Wurm hat es am Wochenende geschafft, weite Teile des Internet zu lähmen. Der dateilose Schädling nutzte dazu eine längst bekannte Lücke in Microsofts SQL Server.

MÜNCHEN (COMPUTERWOCHE) - Der Internet-Wurm "Slammer" hat am Wochenende weite Teile des Internets beeinträchtigt. Nach Angaben des AVERT (Antivirus Emergency Response Team) von Network Associates hat er innerhalb kürzester Zeit rund 200.000 Server weltweit infiziert. Dazu verschickt sich der nur 376 Byte große Schädling in einem UDP-Paket (User Datagram Protocol) über den Port 1434. Trifft er auf einen Server, auf dem die Microsoft-Datenbank SQL Server 2000 läuft, löst er einen Speicherüberlauf aus, indem er eine bekannte Sicherheitslücke nutzt, und legt dadurch den Rechner lahm.

Unmittelbar nachdem der Wurm am Samstag um 6:30 Uhr MEZ freigesetzt wurde, registrierten die Experten von Matrix NetSystems einen Paketverlust von 20 Prozent im Web. Normalerweise geht nicht mehr als ein Prozent der verschickten Datenpakete verloren. Zunächst hat es Server in Südkorea erwischt, wo ISPs (Internet Service Provider) ihre Dienste vom Netz nehmen mussten und über mehrere Stunden keine Online-Verbindungen zur Verfügung gestellt werden konnten. Neben Korea waren auch andere asiatische Länder betroffen, sowie Server in Nordamerika. So versagten aufgrund der Attacke unter anderem die rund 13.000 Geldautomaten der Bank of America ihren Dienst, ebenso die Terminals der Canadian Imperial Bank of Commerce.

Während Howard Schmidt, Sicherheitsberater der US-Regierung, glaubt, Slammer sei mittlerweile unter Kontrolle, stufen Antiviren-Experten die Gefahr höher ein. Der Wurm stellt laut Kevin Hogan, Virenforscher bei Symantec, eine komplexe Bedrohung dar und ist gefährlicher als zum Beispiel Code Red, der Mitte 2001 rund 300.000 Server befallen und dadurch Schäden in Höhe von zwei Milliarden Dollar ausgelöst hatte.

Neu ist die Virenform. Denn die Schadroutine verbreitet sich nicht als Datei, die von herkömmlichen Virenscannern gefiltert werden könnte. Der Code von Slammer steckt direkt im Datenpaket und legt sich unmittelbar im Hauptspeicher betroffener Rechner ab. Somit ist er zwar mittels Neustart des Rechners leicht zu entfernen, jedoch schwer zu entdecken. Auch der Virenprogrammierer wird sich voraussichtlich nicht leicht fassen lassen. Erste Gerüchte, Slammer stamme von einem chinesischen Hacker mit dem Decknamen "Lion", konnte die US-Bundespolizei FBI bislang nicht bestätigen.

Einen Tag, bevor Slammer freigesetzt wurde, bekamen Microsoft-Kunden eine E-Mail, in der sich Bill Gates zu "Trustworthy Computing" äußerte. Die Aussage, man habe mit der Anfang 2002 gestarteten Initiative im ersten Jahr viel erreicht, scheint jedoch Makulatur - angesichts eines Bedrohungspotentials, das komplexe Würmer wie Slammer zeigen.

Experten schieben in diesem Fall jedoch den schwarzen Peter nicht ausschließlich Microsoft zu. Denn für die seit Juli 2002 bekannte Sicherheitslücke im SQL Server ist ein Patch verfügbar (Computerwoche online berichtete). Somit hätten sich Anwender beizeiten schützen können, sagte Marc Maiffret, leitender Virenforscher bei eEye Digital Security. Dass der Patch auf vielen Servern nicht eingespielt wurde, habe viele Gründe. Einigen Administratoren fehle einfach das Sicherheitsbewusstsein, bei anderen Unternehmen seien fehlendes Personal und Geld in den IT-Abteilungen sowie mangelghafte Schulungen der Mitarbeiter die Ursache.

Die Experten raten, den Port 1434 in der Firewall zu blocken, bis der Patch auf betroffenen Systemen eingespielt ist. Auch die aktuellen Signaturen der gängigen Antiviren-Tools erkennen den Schädling, so die Hersteller. Darüber hinaus bietet Symantec ein kostenloses Werkzeug an, mit dem sich Slammer im laufenden Betrieb des Servers deaktivieren lassen soll. (lex)