SQL Slammer

SQL Slammer (auch bekannt als Sapphire ) ist ein Computerwurm , der das verursacht hat25. Januar 2003eine Denial - of - Service auf einigen Internet - Host - Computer , und eine schwere Verlangsamung des Internetverkehrs . Die Verbreitung war überwältigend. Michael Bacarella war der erste, der dies bekannt gab, aber es war Christopher J. Rouland, CTO der ISS, der ihn Slammer nannte (siehe Anmerkungen unten). Obwohl es als "SQL-Slammer-Wurm" bezeichnet wurde, verwendete das Programm nicht die SQL- Sprache  . vielmehr breitete sie durch eine Sicherheitslücke Typ Pufferüberlauf in Server - Datenbank Microsoft SQL Server und MSDE , für die ein Patch ist bereits vorhanden.

Historisch

Das 25. Januar 2003Ab 05:30 UTC begann sich der SQL Slammer-Computerwurm zu verbreiten. Es breitete sich so schnell aus, dass es die meisten seiner Opfer in den ersten zehn Minuten des Angriffs infizierte.

Dies ist eine Sicherheitslücke von Microsoft SQL Server , indem berichtete Microsoft auf24. Juli 2002Dies ermöglichte die Implementierung des Wurms. Gleichzeitig mit dieser Ankündigung hatte Microsoft sechs Monate vor dem Start des Angriffs eine Korrektur für diesen Fehler veröffentlicht.

SQL Slammer ergab, dass einige Netzwerkadministratoren, auch bei Microsoft, die erforderlichen Patches nicht auf die von ihnen verwendete Software angewendet haben, obwohl das Update für diesen Fehler 6 Monate vor dem Tag zuvor veröffentlicht wurde. Die Ausbreitung des Wurms. Sie können diesen Fehler auch beheben, indem Sie Service Pack 3 für SQL Server installieren.

Der Wurm ist auch unter den Namen W32.SQLExp.Worm, DDOS.SQLP1434.A, SQL_HEL, W32 / SQLSlammer und Helkern bekannt.

Technische Details

Operation

Das Design des Wurms basiert auf einem Proof-of-Concept, der einer Black Hat-Konferenz von David Litchfield  (in) ausgesetzt wurde und einen zuvor entdeckten Pufferüberlauf vom Typ Schwachstelle ausnutzt . Dieser Wurm ist ein kleiner Code, der nichts anderes tut, als zufällig IP-Adressen zu generieren und Kopien von sich selbst an diese Adressen zu senden. Wenn sich an einer dieser Adressen ein Computer befindet, auf dem eine Version von Microsoft SQL Server ausgeführt wird, auf die der im Bulletin MS02-039 veröffentlichte Patch nicht angewendet wurde, wird er sofort infiziert und beginnt wiederum, neue Kopien von über das Internet zu senden der Wurm.

Der Wurm - Code , sehr kurz (306 Bytes ) enthält keine Anweisungen selbst auf der Festplatte zu kopieren, so dass es nur in Speicher befindet , die es sehr einfach macht , zu löschen. Sie können dies tun, indem Sie ein Entfernungsprogramm wie das kostenlose von Symantec (siehe externer Link unten) verwenden oder den Server einfach neu starten. Der Computer wird jedoch wahrscheinlich fast sofort erneut infiziert.

Zwei Hauptmerkmale haben zur schnellen Verbreitung des SQL Slammer-Wurms beigetragen: die Verwendung des UDP- Protokolls zur Infektion neuer Hosts und die Möglichkeit, den Wurmcode in einem einzigen UDP- Paket zusammenzufassen . Durch die Verwendung von UDP von der Notwendigkeit befreit , eine Verbindung wie in TCP herzustellen, könnte der infizierte Host eine Strategie anwenden, die als "Schießen und Vergessen" bekannt ist, um sein Paket so oft wie möglich zu übertragen (normalerweise mehrere hundert pro Sekunde).

Personal Computern (PCs) sind nicht von diesem Wurm betroffen , es sei denn MSDE auf ihnen installiert ist.

Auswirkungen

Der Zusammenbruch vieler Router als Reaktion auf den enormen Anstieg des Datenverkehrs, der durch das massive Senden von Kopien des Wurms von infizierten Servern verursacht wurde, führte aufgrund des massiven Datenverkehrs auf Port 1434 zu einer erheblichen Verlangsamung des Internets Der Datenverkehr wird zu stark, als dass der Router ihn verarbeiten könnte. Der Router soll den Datenverkehr verzögern oder vorübergehend stoppen. Die Bandbreitenüberlastung hat zu Fehlfunktionen einiger Router geführt, die von benachbarten Routern direkt vom Internet "getrennt" wurden (durch Entfernen der Routing-Tabelle ). Schließlich haben die mehrfachen Benachrichtigungen über Aktualisierungen von Routen, entweder um ausgestorbene Router aus dem Netzwerk zu entfernen oder um neue hinzuzufügen, die neu gestartet wurden, sehr schnell einen erheblichen Teil der Internetbandbreite monopolisiert. Der normale Verkehr hat sich folglich verlangsamt und ist in einigen Fällen sogar zum Stillstand gekommen. Es ist jedoch ironisch, dass der SQL Slammer-Wurm aufgrund seiner sehr geringen Größe manchmal übertragen werden kann, wenn legitimer Datenverkehr dies nicht kann.

Anmerkungen

Es gibt Kontroversen darüber, wer Slammer zuerst gefunden hat, obwohl dies in der Praxis praktisch unmöglich zu bestimmen ist. Wir können jedoch die erste öffentliche Warnung Michael Bacarella zuschreiben, der eine Nachricht auf der Bugtraq- Mailingliste gesendet hat  : "MS SQL-Wurm zerstört das Internet - Block Port 1434!" "("  MS SQL WORM ZERSTÖRT INTERNET - BLOCK PORT 1434!  "). Gesendet um 07:11:41 UTC am25. Januar 2003.

Die erste Ankündigung wird jedoch häufig Ben Koshy zugeschrieben. In der Tat hatte die Firma W3Media, für die er arbeitete, eine entsprechende Pressemitteilung herausgegeben. Seine öffentliche Warnung, die an die NTBugtraq-Mailingliste gesendet wurde, wurde jedoch erst um 10:28 UTC gesendet. Robert Boyle schickte um 08:35 UTC eine Warnung an NTBugtraq, also vor Koshy, aber nach Bacarella.

ISS hat über Chris Rouland um 11:54 UTC und 11:56 UTC Benachrichtigungen auf den Mailinglisten ISSForum und Vulnwatch gesendet.

Verweise

  1. (in) "  SQL Slammer-Wurm verursacht Chaos im Internet  "
  2. (in) "  Analyse des Saphirwurms - Gemeinsame Bemühungen von CAIDA, ICSI, Silicon Defense, UC Berkeley EECS und UC San Diego CSE  "
  3. (in) "  " Microsoft SQL Server Resolution-Dienstpufferüberläufe ermöglichen die Ausführung von beliebigem Code "  "
  4. (de) "  Net-Worm.Win32.Slammer  "
  5. (in) "  " CERT Advisory CA-2002-22 Mehrere Sicherheitsanfälligkeiten in Microsoft SQL Server "  "
  6. (in) "  CSI: Microsoft-Sicherheit erhält ein 'F'  "
  7. (in) "  Wurm ausgesetzt Apathie, Microsoft Fehler  "
  8. (in) "  Virus SQL Slammer  "
  9. (de) "  Symantec W32.SQLExp.Worm - Zusammenfassung  "
  10. John Leyden , „  Slammer: Warum Sicherheit vom Proof-of-Concept-Code profitiert  “, Register ,6. Februar 2003( online lesen , konsultiert am 29. November 2008 )
  11. (de) "  Symantec W32.SQLExp.Worm - Technische Details  "
  12. (in) "  DeepSight Threat Management System-Bedrohungsanalyse: Worm SQLExp SQL Server-Analyse  "
  13. (in) "  SQL Worm Propagation  "
  14. (in) "  Die Ausbreitung des Saphir / Slammer-Wurms  "
  15. "  Wurm: W32 / Slammer  "
  16. (in) "  Inside the Slammer Worm  "
  17. (in) "  Auswirkungen von Würmern auf die Stabilität des Internet-Routings  "
  18. (in) Michael Bacarella , "  MS SQL WORM ZERSTÖRT DEN INTERNET BLOCK PORT 1434!  » , Bugtraq,25. Januar 2003(abgerufen am 29. November 2012 )
  19. (in) "  W3 Digital Ben Koshys erstes Internet zur Identifizierung des 'Slammer'-Virus  ' , Pressemitteilung , W3 Media24. Januar 2003(abgerufen am 29. November 2008 )
  20. (in) Ben Koshy , "  Seelenfrieden durch Integrität und Einsicht  " [ Archiv19. Februar 2009] , Neohapsis Archives,25. Januar 2003(abgerufen am 29. November 2008 )
  21. (in) Robert Boyle , "  Seelenfrieden durch Integrität und Einsicht  " [ Archiv19. Februar 2009] , Neohapsis Archives,25. Januar 2003(abgerufen am 29. November 2008 )
  22. (in) "  [ISSForum] ISS-Sicherheitsbrief: Microsoft SQL Slammer Worm Propagation  " (abgerufen am 18. Januar 2013 )
  23. (in) X-Force, "  Seelenfrieden durch Integrität und Einsicht  " [ Archiv19. Februar 2009] , Neohapsis Archives,25. Januar 2003(abgerufen am 29. November 2008 )

Externe Links