Wurm befällt SQL Server

Das Sicherheitsportal SecurityFocus warnt vor einer neuartigen Kombination aus Wurm und DDoS-Tool namens Voyager Alpha Force. Der Wurm befällt schlecht konfigurierte Microsoft SQL Server und installiert ein Programm, das eine Verbindung ins IRC öffnet. Von dort aus lässt es sich fernsteuern, so dass der befallene Server zu verteilten Denial-of-Service-Angriffen missbraucht werden kann.

Nach bisherigem Kenntnisstand befällt der Wurm Server, auf denen bei der Installation der Datenbank für den Administrator-Account "sa" kein Passwort gesetzt wurde. Wie heise online bereits im September berichtete, sind Benutzer von Programmen, die sich auf die Microsoft SQL Server Database Engine (MSDE) stützen, besonders gefährdet. Die vereinfachte Installationsprozedur der MSDE sieht es gar nicht vor, für diesen Zugang ein Passwort zu vergeben. Zudem wissen die Anwender häufig gar nicht, dass sie im Hintergrund eine Datenbank betreiben, die auch Remote-Zugriffe erlaubt. Außerdem gibt es Hinweise, dass der Wurm auch einen Pufferüberlauf des SQL-Servers ausnutzt, den Microsoft im Security Bulletin MS00-09 vom September 2000 beschreibt.

Administratoren eines SQL-Servers sollten unbedingt ein Passwort für den Administrator-Zugang vergeben und wenn möglich den Zugang zur Datenbank durch eine Firewall schützen, die den TCP-Port 1433 für unberechtigte Nutzer sperrt. Anwender von MSDE-basierten Programmen finden in der September-Meldung eine Anleitung, wie sie ein Passwort setzen können. (ju)