Attaques par injection SQL : MSFT se dit hors de cause

Le par  |  5 commentaire(s)
SQL_Server

Microsoft décline toute responsabilité dans des attaques de serveurs Web qui ont abouti à la compromission de centaines de milliers de pages Web par injection SQL.

SQL_ServerLa semaine dernière, plusieurs sociétés de sécurité informatique dont F-Secure, Sophos ou encore Websense pour ne citer qu’elles, ont indiqué que des hackers de la mouvance Black Hat sont parvenus à insérer du code malveillant dans des centaines de milliers de sites Web légitimes. Parmi les victimes, des sites Web des Nations Unies ou appartenant à l’administration britannique.

Pour commettre leur méfait, les pirates auraient eu recours à une vulnérabilité dans les pages ASP de Microsoft dû au fait que le serveur ne vérifie pas correctement certaines entrées utilisateurs. Par l’intermédiaire d’URL spécialement conçues, ils ont ainsi réussi à manipuler la base de données SQL qui est lue pour le contenu du site Web et à insérer du code malveillant dans certains champs.

Ledit code qui a provoqué l’insertion par JavaScript d’un iframe dans la page Web, a forcé les navigateurs des utilisateurs à télécharger une page contenant un autre code malveillant ouvrant la voie à l’installation de malwares dont par exemple, un cheval de Troie développé pour les jeux en ligne. Bien vite, des critiques se sont élevées à l’encontre de Microsoft et une vulnérabilité 0-day récemment mise à jour par les équipes de Redmond et relative à une erreur présente au niveau de la manipulation de code via IIS (Internet Information Services) ou SQL Server.


Se sentant visé, Microsoft se défend
Ces critiques ont apparemment piqué au vif Microsoft, et Bill Sisk de MSRC (Microsoft Security Response Center), a tenu à remettre les choses au clair. Selon Sisk, aucune nouvelle vulnérabilité n’est actuellement exploitée et les attaques pointées du doigt ne sont pas le résultat d’une vulnérabilité dans IIS ou Microsoft SQL Server. " Les attaques sont facilitées par des exploits d’injection SQL et ne sont pas relatives à des problèmes dans IIS 6.0, ASP, ASP.Net ou les technologies SQL de Microsoft. (…) Nous avons également déterminé que ces attaques ne sont pas en relation avec notre dernier avis de sécurité ", a-t-il ajouté.

Les personnes concernées seraient donc bien avisées de tenir à jour leurs solutions car visiblement elles ont déjà à leur disposition le nécessaire pour combler les failles incriminées.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #219681
"Les personnes concernées seraient donc bien avisées de tenir à jour leurs solutions car visiblement elles ont déjà à leur disposition le nécessaire pour combler les failles incriminées."

Si c'est le cas alors non, il n'y a rien à reprocher à Crosoft.
Le #219721
Faudrait faire un petit %s/ISS/IIS/g
Le #219791
Je@nb >Dans les deux cas, c'est du sport !
Le #219941
"un cheval de Troie développé pour les jeux en ligne"

lol?
Le #220121
eh ... si on pourrait désactiver les ";" et désactiver les requête sur les tables systêmes dans les requêtes SQL Serveur, ça aiderait un peu contre SQL injection.

au moins les pirates devrons travaillé par essai erreur, là, il ont juste a rajouter des ";" ou ajouter un union à certaines requête ASP mal protégé et ils ont tout le nom des tables et il peuvent supprimer ou ajouter des fichiers sur les serveur en quelques secondes
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]