Sophos warnt vor Internet-Wurm SQLSlammer - W32/SQLSlam-A legt Internet lahm

Januar 25, 2003 Sophos Press Release

Nach dem Auftreten eines neuen Internet-Wurms, der nicht gepatchte SQL-Server angreift, raten Experten bei Sophos Unternehmen dringend, ihre Systeme mit den neuesten Sicherheits-Patches aktuell zu halten.

Der Wurm namens W32/SQLSlam-A (auch bekannt als SQLSlammer, W32.SQLExp.Worm oder Sapphire) nutzt eine Sicherheitslücke in einigen Versionen von Microsoft SQL Server aus und erzeugt Datenverkehr an UDP Port 1434.

W32/SQLSlam-A infiziert nur Windows 2000-Server, auf denen die anfälligen Versionen von Microsoft SQL Server installiert sind - er infiziert keine Desktop-Computer von Endbenutzern. Im Gegensatz zu vielen anderen häufigen Viren verbreitet sich dieser Wurm nicht über E-Mails.

Microsoft hat ein Patch zur Verfügung gestellt, das die Sicherheitslücke von SQL Servern schließt, unter Security Bulletin MS02-039. Das Patch ist in Microsoft SQL Server Service Pack 3 enthalten.

Da der Wurm keine Dateien infiziert, kann ein betroffener Server gesäubert werden, indem er einfach neu gestartet wird. Um eine erneute Infektion zu vermeiden, muss jedoch das Patch installiert werden.

Erstaunlich ist, dass dieses Patch zwar bereits im Juli 2002 zur Verfügung gestellt wurde, aber viele Systemadministratoren es noch immer nicht installiert haben.

Schlupflöcher werden in Produkten annähernd jede Woche entdeckt, einige sind bedeutender, andere weniger schwerwiegend. IT-Manager sollten sich daher über diese Schwachstellen auf dem Laufenden halten und die entsprechenden Patches installieren, bevor diese von neuen Viren ausgenutzt werden.

"Unternehmen müssen Patches für neue Sicherheitsbedrohungen ernst nehmen", sagt Gernot Hacker, Senior Technical Consultant bei Sophos Anti-Virus. "Wenn Unternehmen in dieser Hinsicht nachlässig sind, können neue Viren und Würmer nur schwer gestoppt werden."

Jeder für die Sicherheit verantwortliche IT-Manager sollte sich in Mailing-Listen über Schwachstellen in Software registrieren, wie z. B. in der von Microsoft unter http://www.microsoft.com/technet/security/bulletin/notify.asp. Andere Hersteller bieten ähnliche Services an.

Weitere Informationen:

  • Ausführliche Analyse von W32/SQLSlam-A
  • W32/SQLSlam-A FAQ (englisch)