Die Rückkehr von SQL Slammer?

Mit Verweis auf die jüngste Statistik von Check Point warnt die Nachrichtensite Security Week vor der Wiederauferstehung des winzigen Netzwurms SQL Slammer, der im Jahr 2003 innerhalb von Minuten zehntausende von Servern und Routern lahm legte.

Der Journalist von Security Week wies darauf hin, dass das Projekt SQL Slammer auf PoC-Code basiert, den David Litchfield auf der Black Hat Konferenz vorstellte, nachdem er eine Pufferüberlauf-Schwachstelle im Microsoft SQL Server entdeckt hatte. Ein Patch für diese Sicherheitslücke wurde innerhalb eines halben Jahres noch vor den ersten Attacken von SQL Slammer herausgegeben, doch wie es scheint, wurde es keinesfalls auf allen Computern installiert.

Der körperlose Wurm SQL Slammer (er existiert nur im Arbeitsspeicher) ist auch unter den Namen Sapphire Worm und Helkern bekannt und hat eine Größe von 376 Byte, passt also bequem in ein Netzpaket. Dieser Umstand trug seinerzeit einen entscheidenden Teil dazu bei, dass er sich selbstständig und innerhalb kürzester Zeit rund um den Globus ausbreiten konnte.

Nach Angaben der Forscher wird die Ausnutzung der Sicherheitslücke im SQL Server in diesem Fall umgesetzt, indem eine besondere Anfrage an den UDP-Port 1434 gesendet wird. Nach der erfolgreichen Infektion beginnt der Wurm umgehend, diese Payload an willkürliche IP-Adressen zu senden und verursacht damit eine DoS-Situation auf dem angegriffenen Gerät.

Nach Einschätzungen von Kaspersky Lab existierte diese gefährliche Bedrohung im Internet etwa 8 Jahre lang, doch Anfang des Jahres 2011 ging die Aktivität von SQL Slammer plötzlich um das Zehnfache zurück.

Seither trat der Wurm nur wenig in Erscheinung, doch Ende des vergangenen Jahres registrierte Check Point eine starke Zunahme der Attacken, die mit diesem Schädling in Verbindung gebracht werden. Im Zeitraum zwischen dem 28. November und 4. Dezember belegte SQL Slammer erneut einen Platz in den TOP 10 der von Check Point detektierten Schädlinge.

Infektionsversuche wurden dabei in 172 Ländern registriert, wobei ein Viertel dieser Versuche auf die USA entfällt. Der größte Teil des schädlichen Traffics ging von IP-Adressen in China, Vietnam, Mexiko und der Ukraine aus.

Quelle: Security Week

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.