Der Microsoft SQL-Server (MSSQL) enthält einen Browserdienst, über den sich Nutzer ohne Kenntnis der Portnummer zu Instanzen des Datenbank-Servers verbinden können, welche nicht auf dem Standard-Port lauschen.

Problem

Offen aus dem Internet erreichbare MSSQL-Browserdienste können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Darüber hinaus können Angreifer den offenen Dienst potenziell nutzen, um Informationen über das Netzwerk auszuspähen, in dem der SQL-Server läuft.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer MSSQL-Browserdienst befindet, kann zum Beispiel das Programm 'netcat' wie folgt verwendet werden:

$ netcat -u 192.168.45.67 1434

Anschließend drücken Sie <Strg+B> und dann <Return>.

Ein offen erreichbarer MSSQL-Browserdienst liefert eine Antwort wie die folgende zurück:

ServerName;S16362421;InstanceName;MSSQLSERVER2012;

IsClustered;No;Version;11.0.2100.60;tcp;49511;np;

\\S16462341\pipe\MSSQL$MSSQLSERVER2012\sql\query;;

Ist unter der IP-Adresse kein offener MSSQL-Browserdienst erreichbar, erfolgt keine Antwort.

Lösung

Wenn der MSSQL-Browserdienst nicht benötigt wird, sollte er deaktiviert werden. Andernfalls sollte der Zugriff auf vertrauenswürdige Clients beschränkt werden, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 1434/udp auf der Firewall.

Microsoft empfiehlt hierzu: "The SQL Server Browser service lets users connect to instances of the Database Engine that are not listening on port 1433, without knowing the port number. To use SQL Server Browser, you must open UDP port 1434. To promote the most secure environment, leave the SQL Server Browser service stopped, and configure clients to connect using the port number."
(https://msdn.microsoft.com/library/ms175043.aspx)

Weitere Informationen

• Akamai: Attackers Using New MS SQL Reflection Techniques
• Microsoft: SQL Server-Browserdienst