Attaques par injection SQL : MSFT se dit hors de cause

La semaine dernière, plusieurs sociétés de sécurité informatique dont F-Secure, Sophos ou encore Websense pour ne citer qu’elles, ont indiqué que des hackers de la mouvance Black Hat sont parvenus à insérer du code malveillant dans des centaines de milliers de sites Web légitimes. Parmi les victimes, des sites Web des Nations Unies ou appartenant à l’administration britannique.

Pour commettre leur méfait, les pirates auraient eu recours à une vulnérabilité dans les pages ASP de Microsoft dû au fait que le serveur ne vérifie pas correctement certaines entrées utilisateurs. Par l’intermédiaire d’URL spécialement conçues, ils ont ainsi réussi à manipuler la base de données SQL qui est lue pour le contenu du site Web et à insérer du code malveillant dans certains champs.

Ledit code qui a provoqué l’insertion par JavaScript d’un iframe dans la page Web, a forcé les navigateurs des utilisateurs à télécharger une page contenant un autre code malveillant ouvrant la voie à l’installation de malwares dont par exemple, un cheval de Troie développé pour les jeux en ligne. Bien vite, des critiques se sont élevées à l’encontre de Microsoft et une vulnérabilité 0-day récemment mise à jour par les équipes de Redmond et relative à une erreur présente au niveau de la manipulation de code via IIS (Internet Information Services) ou SQL Server.


Se sentant visé, Microsoft se défend
Ces critiques ont apparemment piqué au vif Microsoft, et Bill Sisk de MSRC (Microsoft Security Response Center), a tenu à remettre les choses au clair. Selon Sisk, aucune nouvelle vulnérabilité n’est actuellement exploitée et les attaques pointées du doigt ne sont pas le résultat d’une vulnérabilité dans IIS ou Microsoft SQL Server. " Les attaques sont facilitées par des exploits d’injection SQL et ne sont pas relatives à des problèmes dans IIS 6.0, ASP, ASP.Net ou les technologies SQL de Microsoft. (…) Nous avons également déterminé que ces attaques ne sont pas en relation avec notre dernier avis de sécurité ", a-t-il ajouté.

Les personnes concernées seraient donc bien avisées de tenir à jour leurs solutions car visiblement elles ont déjà à leur disposition le nécessaire pour combler les failles incriminées.