Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/1/2003
En ny orm udnytter en velkendt sårbarhed i Microsoft SQL Server. Når den har inficeret en server, scanner den aggressivt efter andre servere. Det medfører øget trafik, som kan få servere til at blive langsommere eller helt gå ned.Ormen har fået navnet Sapphire eller Slammer. Den kommer ind på databaseservere via et sikkerhedshul, der blev opdaget i juli 2002. Da ormens angrebsmetode er velkendt, er det nemt at beskytte sig mod den: Man skal blot installere fejlrettelsen fra Microsoft. Sårbarheden findes kun i Microsoft SQL Server 2000 og Microsoft Desktop Engine (MSDE) 2000.
Sapphire-ormen spreder sig udelukkende ved at kalde op til SQL Server-portene 1433 og 1434. Den anvender ikke fildeling eller e-post til at blive spredt med. Ormen gemmes aldrig på harddisken i de inficerede servere, men ligger kun i hukommelsen. Derfor kan den fjernes med en simpel genstart. Hvis man ikke installerer fejlrettelserne, kan maskinen dog hurtigt blive inficeret igen.
For at finde nye sårbare servere, den kan inficere, sender ormen UDP-pakker af sted til port 1434 på tilfældigt udvalgte servere. Det gør den så ihærdigt, at den store trafikmængde i sig selv kan volde problemer. Så selv om en server ikke er sårbar, kan arbejdet med at håndtere bombardementet af UDP-pakker belaste den så meget, at brugerne mærker det i form af højere svartider.
Ifølge Matrix Netsystems, der foretager trafikmålinger på internettet, har ormen medført voldsomme stigninger i pakketab: Hvor pakketabet normalt ligger omkring en procent, nåede det op på 30 procent, da angrebet startede fredag den 24. januar omkring klokken 6:30 dansk tid. Hårdest ramt var det nordøstlige USA og Hong Kong.