| Kriptópolis alojado en |
| Zilos-Veloxia Network |
| Tu mejor defensa: |
| Bufet Almeida |
Más de 500.000 sitios web afectados por ataque masivo de inyección SQL
Enviado por admin el 25. Abril 2008 - 23:06.
Entre la enorme lista de víctimas se encuentran esta vez los sitios de organismos oficiales (Naciones Unidas, UNICEF, Department of Homeland Security, Servicio Civil del Reino Unido...), revistas (Redmond Magazine, Pocket PC Magazine...), empresas (Aeroflot...), etc, etc.
El mecanismo es el habitual. Se explota de forma masiva una vulnerabilidad peculiaridad de Microsoft IIS y Microsoft SQL Server para insertar javascript en los servidores afectados, que se sirve a los navegadores de sus visitantes de modo que éstos resultan redirigidos a otros sitios maliciosos, donde se ensayan diferentes exploits para varias vulnerabilidades conocidas, buscando instalar malware en sus máquinas.
Y también, como es habitual, están a salvo los usuarios de Firefox con NoScript...
Referencias:
Pensaba que estaban a salvo
Sinceramente, había oido comentarios en otras webs sobre que la seguridad de IIS había mejorado, pero mejorado de verdad. Y ahora veo que no es así, y para variar "Currently, Microsoft is not aware of any attacks attempting to exploit the potential vulnerability."
http://www.microsoft.com/technet/security/advisory/951306.ms...
Creo que confundes el termino de SQL Injection
El termino de SQL Injection se debe a la explotacion de un mal diseño realizado en la capa de negocio y no se debe especificamente al software utilizado. Es responsabilidad del desarrollador tener en cuenta esta vulnerabilidad y aplicar best practices en su desarrollo.
Este termino lo estas confundiendo con otro tipo de ataque llamado Cross-site scripting(CSS) o XSS, y tampoco tiene que ver con algun software o plataforma especifica. Todo apunta a un mal desarrollo
NoScript + firefox
A pesar que la navegación con Noscript a veces es muy conflictiva, sin duda es nuestro mejor amigo.
Seguridad + comodidad de uso = INCOMPATIBLES.
No exactamente
No es incompatible seguridad+comodidad de uso. Lo que es incompatible es dispositivo programable con usuario que no sabe programar.
Mi reproductor de DVD es muy fácil de usar, pero no creo que nadie pueda meterle un virus.
Firefox + NoScript = IE + Zonas de seguridad
Para ser justos, hay que decir que la protección que ofrece Firefox con NoScript (limitar la funcionalidad del navegador en sitios no marcados expresamente como confiables), es equivalente a la que se puede conseguir con Internet Explorer y las zonas de seguridad.
En IE hay que establecer en "Alto" el nivel de seguridad en la zona "Internet", y en "Medio" en los "Sitios de Confianza". Luego, a medida que se navega, hay que añadir a los sitios de confianza a aquellas páginas que queramos permitir mayor funcionalidad.
En ambos casos, Firefox/IE, este tipo de defensa funcionará en ataques como el descrito en este post, ya que el sitio comprometido (una página "popular" y en principio de confianza) no contiene el código malicioso, sino que nos redirige a otra que sí que intenta atacarnos. Como en esta segunda no permitiremos el uso de javascript y similares, el ataque es evitado.
El problema vendrá cuando el atacante altere el contenido de un sitio "confiable", en el que tendremos permitido javascript. Entonces nuestra seguridad dependerá del resto de medidas que tengamos implementadas: actualización del sistema, antivirus, etc.
Parece ciencia ficción, pero ya ha pasado, y me temo que dado el gran beneficio que puede llegar a obtener el atacante, volverá a pasar.
En cualquier caso, limitar la funcionalidad del navegador (sea cual sea, lo importante en este caso es evitar infecciones que repercuten negativamente en toda la comunidad de internautas) siempre es bueno, ya que hoy en día se ha convertido en el principal vector de ataque al que estamos expuestos.
= <> LIKE
Creo que me he perdido algo, o a lo mejor hablas de MSIE8, pero no veo la opción de permisos temporales, o la lista de servidores extraídos del código de la página, ola facilidad de uso, o la opción para impedir IFRAME, o ... Bueno, prueba otra vez NoScript, que acaban de sacar la versión 1.6.4 :-)
Por supuesto
... Explorer con zonas es tan seguro (o más) que Firefox con Noscript ...
... SQL Server es invulnerable ...
... IIS invencible, mil veces mejor que Apache ...
... Cerrudo es un fantasma ...
... Vista, un super hit ...
... Microsoft inventó el PC y Bill Gates la Internet ...
Aceptamos barco como animal acuático?
es cuestión de ser claros
y no echar culpas a alguien cuando no se tienen, ya que si no se pierde credibilidad.
Es un ataque de Sql inyectado, es decir, la culpa es de las aplicaciones web que no comprueban, o no lo hacen correctamente, los datos de entrada. Además por lo que parece, una mejor gestión de permisos del usuario usado en la aplicación web, limitando lo que puede hacer, mejoraría las cosas. Además se podrían usar procedimientos almacenados,...
fallo de IIS?
Si se tracta de una inyección sql el problema no es fallo de IIS ni de SqlServer, sino mas bien es fallo del programador por no validar las entradas del programa.
El SQLServer es en parte culpable. La ruleta rusa del javascript
Ya que hace más fáciles los ataques por inyección SQL al permitir obtener información sobre campos de tablas de manera automatizada. Con otros sistemas de BBDD es posible también hacer ataques de inyección SQL, pero debes tener datos (o intentar adivinarlos) sobre los nombres de los campos para que funcione.
Este ataque, además, es en dos fases. En una primera se contamina al servidor para que ofrezca la redirección mediante javascript a los visitantes de la web. En la segunda se intenta infectar a los visitantes redirigidos al sitio malicioso. MS y los usuarios tienen responsabilidad compartida en ambas:
- En la primera: MS por facilitar los ataques SQL, El usuario/desarrollador por no usar buenas prácticas de programación para prevenirlos.
- En la segunda: MS por no disponer de un sistema cómodo (lo de las zonas de seguridad es tremendamente más incomodo de establecer que noscript, con lo que tiene todos los números de acabar desactivado por defecto). El usuario por no desactivar la ejecución de scripts.
Por lo que respecta al tema de los javascripts. Hay innumerables páginas no maliciosas que exigen su uso para mostrar contenidos. No hablamos de monerías gráficas sinó de funcionalidades básicas. Esto nos obliga a autorizar su uso si queremos acceder a información o archivos, planteando la disyuntiva entre seguridad y acceso. Una ruleta rusa.
En tercera....
En tercera: la culpa es de los fabricantes de equipos de computo por permitir la conexión a la red, por tener teclados y pantallas que permiten de cualquier forma los ataques.... ¡NO! la culpa no es de las herramientas ni de sus fabricantes, la culpa es de la mala intención de las personas.
Experiencia personal
Una de las webs de la empresa donde trabajo se vió afectada por este ataque y la verdad no veo que sea exactamente un fallo de IIS o SQL Server. Simplemente con un manejo adecuado de la recogida de parámetros de la URL se puede prevenir con suma facilidad.
Si bien es cierto que el ataque explota una funcionalidad un tanto oscura del SQL Server de forma muy hábil, desde luego es un ataque de inyección SQL en toda regla, añadiendo una ' al final del parámetro y probando suerte a ver si no está protegido para ejecutar el código mailicioso. Dicho código modifica masivamente los campos de texto para añadir un tag script y con suerte se verá en la web (aunque también puede hacer que la web deje de funcionar, porque no es selectivo).
Un saludo.
¿Qué vulnerabilidades
¿Qué vulnerabilidades afectan a los navegadores y qué pueden hacer?
¿Realmente con la última versión del firefox somos vulnerables a ataques de JS?
¿Dónde puedo conseguir más info de estas vulnerabildiades?
Habla el experto: Sí y no
El ataque está dirigido contra servidores Microsoft IIS. ¿Explota una vulnerabilidad de Microsoft?
Sí y no. Los desarrolladores Web (o sus jefes, que no imponen la formación en seguridad apropiada) son culpables de cada caso de infección, porque la inyección de SQL utilizada para infectar los sitios web es posible gracias a un error de codificación trivial. Dicho eso, los atacantes están centrados en servidores web IIS que corren ASP por una razón.
Los 'crackers' combinan un inteligente procedimiento SQL capaz de contaminar cualquier base de datos de Microsoft SQL Server de forma genérica, sin necesidad de conocer la tabla concreta ni el diseño de sus campos:
DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+ ''''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor;Ésta es la "salsa secreta" que está permitiendo que el ataque alcance porporciones tan impresionantes, y funciona exclusivamente contra la tecnología de bases de datos de Microsoft, pero es una característica, no un bug (ninguna ironía intencional esta vez). De todos modos, las posibilidades de que tan "potente" tecnología de bases de datos sea utilizada en conjunción con servidores web diferentes de IIS son muy bajas.
Así que, en resumen:
1. No está involucrada una vulnerabilidad específica de Microsoft: las inyecciones de SQL pueden ocurrir (y ocurren) en LAMP y otras aplicaciones web.
2. Las inyecciones de SQL, y por tanto éstas, son causadas por malas prácticas de codificación durante el desarrollo de sitios web.
3. No obstante, esta epidemia masiva automatizada es debida a características específicas de las bases de datos de Microsoft, que permiten que el código del exploit sea genérico, en vez de personalizado para cada sitio web.
-- Giorgio Maone, creador de NoScript, en Mass Attack FAQ.
el becario
Es que no puede ser que me paguen 30 Euros y encima querrais una página web segura contra cualquier ataque.. lo que no entiendo es como han sido infectadas "grandes" páginas webs, jejeje me imagino el gerente buscando al becario que lo codificó, lo mismo ya no está ni en la empresa, y ahora se dedica a vender en el Telepizza..
Linux
Hablais todo el rato de FireFox, os habeis planteado en pasaros a Linux?
Sobre la vulnerabilidad, de esas hay todos los días y en todos los S.O. lo grande es que hayan explotado de un golpe a tantas "empresas" grandes........
Saludos.
Muy buen comentario
De hecho, nunca he leído nada en esta página sobre Linux, creo que vas a traer la novedad a kriptopolis.org. Hace falta gente despierta como tú.
Microsoft
No se menciona que el ataque en última instancia trata de comprometer Microsoft Internet Explorer no parcheados frente a esta vulnerabilidad:
http://www.microsoft.com/technet/security/Bulletin/MS07-004....
Luego Microsoft y sus vulnerabilidades algo tendrán que ver, digo yo.
La noticia es el ataque primario sobre servidores.
Y como ya se indica más arriba, SI tienen que ver las debilidades de productos MS ya que permiten realizar ataques de inyección SQL de manera masiva. Que luego se use eso para realizar el ataque sobre los clientes eso no es una novedad. Esa vulnerabilidad ya es conocida y existe parche para ella.
Aclararaciones para los afectados
Buenos Días,
Nuestro server se ha visto afectado por este ataque y no sabemos qué tenemos que cambiar en la programación para estar protegidos. Alguien de los que se han visto afectados y lo hayan solucionado puede detallar la manera de corregirlo?
Gracias
Lucia
Opinar