SQLSlammer: Millionenschaden durch lahm gelegte Netze

Der am Samstag ausgebrochene Wurm SQLSlammer hat weltweit massive Beeinträchtigungen im Netz verursacht.

In Pocket speichern vorlesen Druckansicht 514 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Patrick Brauch

Der am Samstag ausgebrochene Wurm SQLSlammer hat am Wochenende weltweit massive Beeinträchtigungen im Netz verursacht. Der Schaden dürfte in die Millionen gehen.

Zwar ist die größte Welle von SQLSlammer mittlerweile abgeklungen, doch nach Schätzungen von Network Associates waren zwischenzeitlich zwischen 250.000 und 350.000 Rechner von dem Wurm befallen. Am Samstagmorgen gegen 6 Uhr 30 infizierte der Wurm binnen Minuten über 150.000 Rechner in Rekordgeschwindigkeit. Durch seine geringe Größe von 376 Byte konnte er sich innerhalb eines UDP-Pakets verschicken, das im Unterschied zu TCP keine Bestätigung vom Zielrechner erfordert. Zwar besitzt SQLSlammer keine eigentlich Schadroutine, doch dadurch, dass der Wurm die gesamte Bandbreite von infizierten Rechnern nutzt, um sich via UDP weiterzuversenden, entstand quasi als Nebeneffekt ein weltweiter Distributed-Denial-of-Service Angriff.

Der Wurm, der laut Kaspersky Labs den "größten weltweiten Virenausbruch" verursachte, schlug besonders stark in Südkorea zu: Am Samstag waren die Netzwerke von Internet-Providern in Südkorea wegen der Überlastung einen halben Tag lang gar nicht mehr erreichbar. "In dieser Zeit konnten die meisten Anwender in Südkorea auf das Internet nicht mehr zugreifen", bestätigt Lee Kin Tae, technischer Assistent beim Korean Computer Emergency Response Team (CERT). Der Netzausfall hatte auch Auswirkungen auf die Börsen. Durch die beeinträchtigten SQL-Server und das Misstrauen der Händler war der Börsenhandel in Südkorea auch heute früh noch erheblich eingeschränkt -- das Handelsvolumen fiel auf den tiefsten Stand seit drei Monaten.

Auch in den USA waren diverse Firmen von dem sich schnell ausbreitenden Wurm betroffen. So fielen am Samstagmorgen über 13.000 Geldautomaten der Bank of America aus; auch am Nachmittag warnte die Bank ihre Online-Kunden vor möglichen Zugriffsschwierigkeiten. Bei Continental Airlines gab es offenbar sogar Flugverzögerungen wegen Koordinations- und Datenproblemen aufgrund des massiven Netzwerkverkehrs.

Auch Microsoft selbst war von SQLSlammer betroffen: Wie aus Firmenkreisen bekannt wurde, waren die öffentlich erreichbaren SQL-Server zwar auf dem neuesten Stand und mit allen Patches versehen, jedoch nicht das interne Netzwerk. Dort arbeitet auf zahlreichen Rechnern die Microsoft Desktop Engine 2000, die ebenfalls anfällig für den Schädling ist. Die MSDE ist nicht nur in vielen Microsoft-Produkten wie beispielsweise Visio 2000 oder Office XP Developer Edition enthalten, sondern auch Bestandteil einiger Third-Party-Software, insbesondere von Sicherheitssprogrammen. Eine Liste mit betroffenen Produkten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht.

Besonders prekär: Anwender konnten fast den gesamten Samstag lang den entsprechenden Patch gegen die Sicherheitslücke gar nicht herunterladen -- erst gegen 22 Uhr hatte Microsoft das Problem im Griff und die Server waren wieder erreichbar. Leser von heise online berichteten außerdem davon, dass die Registrierung von Windows XP nicht möglich war, da die Server überlastet waren.

Mittlerweile nimmt die Wurm-Aktivität ab -- dies dürfte im Wesentlichen daran liegen, dass viele Provider inzwischen UDP-Pakete auf dem von SQLSlammer benutzten Port 1434 blockieren. Trotzdem ist immer noch ein leicht erhöhtes Traffic-Aufkommen durch den Wurm zu verzeichnen. Nach Analysen von Antiviren-Firmen treffen entsprechende UDP-Pakete immer noch in Abständen von zwei bis drei Minuten ein. Dies ist allerdings eine deutlich niedrigere Frequenz als am Samstagvormittag, als SQLSlammer sich in Abständen von weniger als 30 Sekunden bemerkbar machte. Mittlerweile vermutet man, dass der Wurm ursprünglich in Hongkong ausgebrochen ist -- das CERT Hongkong hat die Suche nach dem Urheber bereits gestartet, laut Agenturberichten sieht man dort jedoch keine allzu große Chance auf Erfolg.

Im Übrigen sollten auch alle Anwender, die den Microsoft SQL Server 7.0 oder die Microsoft Data Engine 1.0 im Einsatz haben, den Microsoft-Patch unbedingt einspielen. Diese Versionen sind zwar gegen den Wurm resistent, da er spezifische Offsets benutzt, die nur den SQL Server 2000 und die Microsoft Desktop Engine 2000 betreffen. Dennoch aber weisen auch SQL Server 7.0 und MSDE 1.0 grundsätzlich die gleiche Anfälligkeit für einen Buffer Overflow auf: Es ist nicht auszuschließen, dass ähnlich wie bei Code Red neue Varianten des Wurms in Umlauf geraten, die den SQL Server 7.0 und die MSDE 1.0 befallen. (pab)