Neuer Wurm nutzt alte Lücke in Microsoft SQL Server

Erneut ist ein Wurm im Umlauf, der sich über offene Microsoft SQL Server verbreitet. Seit gestern registrieren nicht nur Antiviren-Hersteller ein stark erhöhtes Aufkommen an Datenverkehr auf Port 1433 -- dem Microsoft-SQL-Port. Schnell war auch die Ursache dafür bekannt: Ein neuer Wurm namens SQLsnake sucht nach SQL-Servern, die eine -- allerdings längst bekannte -- Sicherheitslücke aufweisen: Viele Standardinstallationen des SQL-Servers von Microsoft haben einen Administrator-Account namens "sa" ohne Passwort gesetzt. Über diese Hintertür infiziert SQLsnake weitere Systeme.

Damit beruht der Schädling auf dem gleichen Prinzip wie der bereits im November vergangenen Jahres entdeckte Schädling Voyager Alpha Force; Schadroutinen wie sein Vorgänger weist SQLsnake nach augenblicklichem Kenntnisstand zwar nicht auf, jedoch installiert der Wurm laut incidents.org einen Passwort-Sniffer. Administratoren eines SQL-Servers sollten unbedingt ein Passwort für den Administrator-Zugang vergeben und, wenn möglich, den Zugang zur Datenbank durch eine Firewall schützen, die den TCP-Port 1433 für unberechtigte Nutzer sperrt. Administratoren von Microsoft SQL-Servern und Anwender von Programmen, die auf der MSDE (Microsoft SQL Server Database Engine) aufsetzen, finden in der Meldung vom September über die Hintertür in der Datenbank-Engine eine Anleitung, wie sie ein Passwort setzen können. (pab)