Virus Hall of Fame: SQL Slammer-Virus

Lesezeit: 3 Minuten

Jede Liste von denkwürdigen Computer Virus Ich müsste den 2003 ausgelösten SQL Slammer-Virus einbeziehen. Ich erinnere mich sicher daran. Ich war zu der Zeit bei UPS IT und wir hatten mehrere Server ausgefallen.

Der Virenname ist etwas irreführend, da er nicht SQL, die strukturierte Abfragesprache für Datenbanksysteme, enthält. Es wurde ein Problem mit Pufferüberläufen im SQL Server-Datenbanksystem von Microsoft ausgenutzt. Es konnte nicht nur die Datenbank herunterfahren, sondern in einigen Fällen ganze Netzwerke.

Das Virus, eigentlich ein Wurm, war bemerkenswert einfach. Es hat zufällige IP-Adressen generiert und sich dann an diese Adressen gesendet. Wenn der SQL Server-Auflösungsdienst zur Unterstützung mehrerer SQL Server-Instanzen auf einem Computer verwendet wird, wird der Host infiziert. Die Resolution Services betreiben einen UDP-Port, über den Internet-Datagramme gesendet werden, kleine Nachrichten, die schnell gesendet werden können. Sehr schnell, wie dieses Virus beweisen würde.

Der Virus wurde verwendet, um den Datenbankserver auf zwei Arten zum Ausfall zu bringen. Dies könnte dazu führen, dass Teile des Systemspeichers mit zufälligen Daten überschrieben werden, die den gesamten verfügbaren Speicher des Servers belegen. Es könnte auch Code im Sicherheitskontext des SQL Server-Dienstes ausführen, der den Server herunterfahren könnte.

Eine dritte Verwendung des Virus bestand darin, einen „Denial of Service“ zu erstellen. Ein Angreifer könnte eine Adresse erstellen, die anscheinend von einem SQL Server 2000-System stammt, und diese dann an ein benachbartes SQL Server 2000-System senden. Dies führte zu einer nie endenden Reihe von Nachrichtenaustauschen, die Ressourcen auf beiden Systemen verbrauchten und die Leistung verlangsamten.

Nur wenige Viren haben jemals so schnell so viele öffentliche Störungen verursacht. Laut einer Studie der Universität von Indiana über das Virus und seine Auswirkungen „Das Hauptmerkmal des Wurms ist seine außergewöhnliche Ausbreitungsrate. Es wird geschätzt, dass es innerhalb von zehn Minuten nach seiner Veröffentlichung seinen vollen Grad an globaler Internetinfektion erreicht hat. Im Maximum (erreicht am Sonntag, dem 26. Januar) wurden weltweit ungefähr 120,000 einzelne Computer infiziert, und diese Computer erzeugten insgesamt über 1 Terabit / Sekunde Infektionsverkehr. “

Sie schätzten, dass zu Spitzenzeiten 15% der Internet-Hosts aufgrund des Virus nicht erreichbar waren.

In Südkorea konnten die meisten Benutzer etwa 10 Stunden lang nicht auf das Internet zugreifen. Es brachte Geldautomaten der Bank of America zum Erliegen und verursachte Ausfälle des 911-Systems in Seattle. Es brachte das Netzwerk von Akamai zum Erliegen, der die Websites für hochkarätige Unternehmen wie Ticketmaster und MSNBC betrieb. Continental Airlines musste Flüge wegen Problemen mit dem Ticketsystem stornieren.

Die gute Nachricht war die Virusentfernung war relativ einfach zu beantworten. Es war einfach, den Speicher zu löschen und durch Firewalling der betroffenen Ports zu verhindern. Tatsächlich hatte Microsoft ein Jahr zuvor einen Patch für die Überlaufanfälligkeit veröffentlicht. Ein Fix stand bereits zum Download zur Verfügung.

Was zu einem interessanten Teil dieser Geschichte führt. Der Ursprung des Virus lag bei David Litchfield, einem Forscher, der das Problem identifizierte und ein „Proof of Concept“ -Programm erstellte. Litchfield präsentierte seine Ergebnisse Leuten bei Microsoft, denen es leider recht war, dass er sie und den Proof of Concept auf der berühmten jährlichen Black Hat-Konferenz präsentierte. Es wird vermutet, dass die Autoren den Code und das Konzept aus seiner Präsentation erhalten haben.

Wie konnte Microsoft ihm das erlauben?

Sie hielten es anscheinend für alte Nachrichten. Sie hatten den Patch veröffentlicht und arbeiteten an der nächsten Version, SQL Server 2005.

Natürlich entzündete der Vorfall ein Feuer unter dem digitalen Backend von Microsoft, um sich auf die Sicherheit für SQL Server 2005 zu konzentrieren. Es funktionierte, weil seitdem mit SQL Server nichts in der Ferne passiert ist.

KOSTENLOS TESTEN ERHALTEN SIE IHRE SOFORTIGE SICHERHEITSKORECARD KOSTENLOS