Microsoft bringt Skript zum Schutz vor SQL-Lücke

Noch vor der Veröffentlichung eines offiziellen Patches hat Microsoft jetzt ein Visual Basic-Skript zum Schutz vor der aktuellen Sicherheitslücke im SQL-Server 2000 und 2005 veröffentlicht.

Laut dem dazugehörigen Eintrag in der Microsoft Knowledge Base verhindert das Skript die Ausführung der Prozedur "sp_replwriteovarbin". Diese kann einen Fehler in der Speicherverwaltung auslösen und somit zum Einschleusen von Schadcode ausgenutzt werden.


In einem Blog-Eintrag des Microsoft Security Response Team heißt es, dass die Kunden um eine Anleitung für den automatischen Rollout eines Workarounds gebeten haben. "Wir sind einen Schritt weiter gegangen und haben mit dem SQL-Engineering-Team ein Skript entwickelt, das den Workaround auf allen Instanzen von SQL Server anwendet."

Microsoft betrachtet das Skript jedoch nur als Beispiel. Es sollte im eigenen Netzwerk an die jeweiligen Bedingungen angepasst werden.

Im Internet kursiert bereits der Code eines Exploits, mit dem Angreifer fremden Code in ein System einschleusen können. Dafür muss allerdings entweder ein Weg gefunden werden, sich auf dem jeweiligen Server einzuloggen oder einen SQL-Injection-Angriff zu starten. Konkrete Attacken gab es nach bisherigen Erkenntnissen aber noch nicht.