MS-SQL Slammer: Ein Wurm und die Konsequenzen

Die Entseuchung

Zur raschen Schadensbegrenzung haben nicht zuletzt zwei Tatsachen beigetragen: Zum einen ist MS-SQL Slammer kein Schädling im engeren Sinne: Er residiert lediglich im Speicher, lagert sich aber nicht auf die Festplatte ein. Er zerstört weder Daten, noch späht er sie aus; er birgt auch keine Backdoor-Routine. Das alles legt den dringenden Verdacht nahe, dass es sich hier lediglich um einen Proof-of-Concept-Wurm handelt.

Zum anderen ist die Lücke, die Slammer ausnutzt, seit einem halben Jahr bekannt. Am 24. Juli 2002 hat Microsoft die entsprechende Vulnerability zum ersten Mal im Security Bulletin MS02-039 beschrieben und einen Patch zur Verfügung gestellt. Seit dem 16. Oktober 2002 offeriert Redmond auch einen Bugfix für die MSDE, dessen Beschreibung sich im Security Bulletin MS02-061 findet. Seit dem 17. Januar 2003 schließlich gibt es den kumulativen SQL Server Service Pack 3, der die Vulnerability ebenfalls beseitigt.

Zur Desinfektion eines befallenen Systems reicht es also aus, den Rechner offline zu nehmen und herunterzufahren. Um sich beim Wiederanschluss ans Netz nicht sofort erneut zu infizieren, muss vorher einer der oben beschriebenen Patches eingespielt werden. Dann kann der SQL-Rechner wieder online gehen. Zudem empfiehlt es sich dringend, Port 1434/udp auf der Firewall sowohl Inbound als auch Outbound zu sperren.