|
Der Sapphire - Wurm wurde im Internet erstmals am
25. Januar 2003 gegen 05:30 GMT entdeckt. Danach kamen Meldungen
über ihn aus verschiedenen Ländern weltweit. Der
Wurm verursacht riesige Mengen von Netzwerk-Paketen, die Server
und Router überlasten und den Netzwerk-Verkehr verlangsamen
oder gar lahmlegen. Nicht weniger als 5 von 13 Basis-Internet-Nameserver
waren dadurch am Samstag, den 25.1.2003 funktionsunfähig
geworden. In Südkorea hatten Millionen von Kunden der Provider
Korea Telecom Freetel und SK Telecom stundenlang keinen Zugang
zum Internet. Am Sonntag, 26.1.2003 lief der Datenverkehr
wieder langsam an.
Dieser Wurm infiziert keine Endbenutzer-Rechner, sondern
nur Windows 2000 Server, auf denen Microsoft SQL-Server laufen.
Endbenutzer dürften diesen Wurm nur dadurch bemerken,
dass der Netzwerkverkehr lahmt. Dieser Wurm ist kein Massenmail-Wurm.
Er versendet keine E-Mails.
Der Wurm verbreitet sich nur als Prozess im Speicher. Er
schreibt keine Kopie von sich selbst auf Festplatten. Daher
ähnelte er in dieser Beziehung Code Red, der vom Juli
2001 stammt.
Der Wurm benutzt den UDP-Port 1434 um einen Buffer-Overflow
auf dem MS SQL-Server zu verursachen. Schließen Sie
diesen Port auf der Firewall, außer Sie benötigen
einen SQL-Server, der für jedermann zugänglich und
sichtbar sein soll.
Da der Wurm keine Datei infiziert, kann ein infizierter Server
einfach durch einen Neustart den Wurm beseitigen. Allerdings
wird er sofort wieder infiziert, falls er mit dem Netzwerk
verbunden ist und Service Pack 2 und 3 Patches für MS
SQL Server nicht aufgespielt wurden.
Patch-Informationen finden Sie unter:
http://www.microsoft.com/security/slammer.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-061.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
Der Effekt einer Netzwerküberlastung durch den Wurm
kann deutlich dieser Grafik von Matrix NetSystems entnommen
werden:
Den Anfangs-Report zu diesem Wurm kann man unter folgendem
Link einsehen:
http://online.securityfocus.com/archive/1/308306/2003-01-22/2003-01-28/0
oder hier als Capture (Klicken Sie auf das Bild zur Vergrößerung:)
Die problematischen Plattformen
Nur Rechner auf denen Microsofts SQL Server 2000 läuft
werden durch diesen Wurm infiziert. Allerdings ist der SQL-Server
eingebettet in Microsofts Data Engine 2000 - MSDE 2000.
Zusätzlich gibt es zahlreiche weitere Anwendungen, die
im Hintergrund Microsofts SQL Server oder MSDE 2000 installieren
könnten. Beispiele für diese Software sind:
Microsoft Biztalk Server
Microsoft Visual Studio.NET
Microsoft .NET Framework SDK
Microsoft Visio 2000
Microsoft Office XP Developer Edition
Microsoft Visual FoxPro
Microsoft Project
Compaq Insight Manager
Dell OpenManage
HP Openview Internet Services Monitor
Websense
Veritas Backup Exec
WebBoard
Crystal Reports Enterprise
McAfee Centralized Virus Admin
McAfee Epolicy Orchestrator
Technische Details
Die Größe des Wurm-Programm-Codes beträgt
nur 376 Bytes, was auf eine Programmierung und Optimierung
von Hand in Assembler hindeutet.
Der Wurm schreibt sich nicht selbständig auf Festplatte/Diskette.
Er existiert lediglich als Netzwerk Paket und in laufenden
Prozessen auf infizierten Rechnern. Daher ähnelt Sapphire
in dieser Beziehung Code Red.
Sapphire nutzt eine Buffer-Overflow Schwachstelle auf Microsoft
SQL-Server 2000 (MS02-039) aus. Wenn der SQL-Server diese
tückische Anfrage erhält, erlaubt der Buffer-Überlauf
des Servers die Ausführung des Wurm-Codes.
Nachdem der Wurm in das verwundbare System eingedrungen ist,
verschafft er sich verschiedene Adressen von System-Funktionen
und startet eine Endlosschleife, um nach weiteren verwundbaren
"Opfern" im Internet zu suchen.
Sapphire benutzt die GetTickCount() Funktion der Win32 API,
um den eigenen Zufallsgenerator zu initialisieren. Er benutzt
zufällige IP-Adressen, um weitere Rechner aufzuspüren.
Der Wurm nutzt eine Socketverbindung, um sich selbst an die
verwundbaren Computer zu versenden. Die Verbindung wird über
den UDP-Port 1434 auf der entfernten Maschine abgewickelt.
Falls auf dem Computer Microsofts SQL-Server 2000 läuft,
so wird dieser Port verwendet.
Manchmal erzeugt der Zufallsgenerator Zahlen, die Broadcast-Adressen
sind (z.B.: x.y.z.0 oder x.y.z.255) und damit alle Hosts des
Subnetztes ansprechen. Dieses erzeugt noch aggressivere Angriffe
auf das Netz.
Da der Code des Wurms keinerlei Verzögerungen oder Pausen
in der Endlosschleife eingebaut hat, erzeugt er als Seiteneffekt
enormen Netzwerkverkehr.
Sapphire hat keinerlei weitere Schadfunktionen oder Zeichenketten
im sonstigen Programm-Code.
Anleitung zur Beseitigung:
Da der Wurm keine Festplatte nutzt, um sich zu verbreiten,
verschwindet er, sobald der Server neu gestartet wurde. Andererseits
taucht er wieder auf, wenn das Sicherheitsloch nicht gestoppft
wurde.
Microsoft hat genaue Informationen zu dieser Sicherheitslücke
und wie sie beseitigt werden kann unter:
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
[Analyse:
Mikko Hypponen, Gergely Erdelyi; F-Secure Corporation; 25.
Januar 2003; dt. Übersetzung F-PROT
in Deutschland und @ntivirus-shop.com]
|
