Am Samstag, den 25. Januar 2003 stellten die Sicherheitswächter der großen Antivirenhersteller eine Verlangsamung des Datenverkehrs im Internet fest. Betroffen war zunächst der asiatisch-pazifische Raum. Später griffen die Verzögerungen auch auf Nordamerika über. Zahlreiche Internet-Anbieter gingen in die Knie, und auch der E-Mail-Verkehr geriet teilweise ins Stocken.

Ursache dieser Störungen war Slammer, ein gerade 376 Byte großer Wurm. Dieser verschickt sich selbst als User-Datagram-Protocol- (UDP-)Paket und attackiert Server über den Port 1434. Findet Slammer dort eine SQL-Datenbank von Microsoft, die nicht mit den aktuellen Patches auf dem neuesten Stand ist, löst der Computerschädling einen Speicherüberlauf aus und legt damit den Rechner lahm. Anschließend verbreitet sich der Wurm weiter.

Slammer bringt keinen schädlichen Dateianhang mit, so dass den befallenen Rechnern keine unmittelbaren Gefahren durch Datenverlust drohen. Das Schadenspotenzial liegt allein in der Belastung der Server und des Netzes. Da sich der Wurm als Programmcode direkt im Hauptspeicher des Rechners festsetzt, können ihn herkömmliche Antivirenprogramme nicht herausfiltern.

Sicherheitsbewusstsein fehlt

Auch wenn Slammer sich ausschließlich über ein Sicherheitsloch in einem Microsoft-Produkt verbreitet, kann der Schwarze Peter nicht allein den Redmondern zugeschoben werden. Die Sicherheitslücke im SQL Server ist bereits seit rund einem halben Jahr bekannt. Einen entsprechenden Patch stellt Microsoft seit geraumer Zeit auf seiner Web-Seite zur Verfügung. Viele Anwender hätten sich also längst gegen einen Angriff schützen können. Allerdings fehle vielen Administratoren das nötige Sicherheitsbewusstsein, bemängeln Experten. (ba)