Attaques par injection SQL : MSFT se dit hors de cause

Le par Jérôme G.  |  5 commentaire(s)
SQL_Server

Microsoft décline toute responsabilité dans des attaques de serveurs Web qui ont abouti à la compromission de centaines de milliers de pages Web par injection SQL.

SQL_ServerLa semaine dernière, plusieurs sociétés de sécurité informatique dont F-Secure, Sophos ou encore Websense pour ne citer qu’elles, ont indiqué que des hackers de la mouvance Black Hat sont parvenus à insérer du code malveillant dans des centaines de milliers de sites Web légitimes. Parmi les victimes, des sites Web des Nations Unies ou appartenant à l’administration britannique.

Pour commettre leur méfait, les pirates auraient eu recours à une vulnérabilité dans les pages ASP de Microsoft dû au fait que le serveur ne vérifie pas correctement certaines entrées utilisateurs. Par l’intermédiaire d’URL spécialement conçues, ils ont ainsi réussi à manipuler la base de données SQL qui est lue pour le contenu du site Web et à insérer du code malveillant dans certains champs.

Ledit code qui a provoqué l’insertion par JavaScript d’un iframe dans la page Web, a forcé les navigateurs des utilisateurs à télécharger une page contenant un autre code malveillant ouvrant la voie à l’installation de malwares dont par exemple, un cheval de Troie développé pour les jeux en ligne. Bien vite, des critiques se sont élevées à l’encontre de Microsoft et une vulnérabilité 0-day récemment mise à jour par les équipes de Redmond et relative à une erreur présente au niveau de la manipulation de code via IIS (Internet Information Services) ou SQL Server.


Se sentant visé, Microsoft se défend
Ces critiques ont apparemment piqué au vif Microsoft, et Bill Sisk de MSRC (Microsoft Security Response Center), a tenu à remettre les choses au clair. Selon Sisk, aucune nouvelle vulnérabilité n’est actuellement exploitée et les attaques pointées du doigt ne sont pas le résultat d’une vulnérabilité dans IIS ou Microsoft SQL Server. " Les attaques sont facilitées par des exploits d’injection SQL et ne sont pas relatives à des problèmes dans IIS 6.0, ASP, ASP.Net ou les technologies SQL de Microsoft. (…) Nous avons également déterminé que ces attaques ne sont pas en relation avec notre dernier avis de sécurité ", a-t-il ajouté.

Les personnes concernées seraient donc bien avisées de tenir à jour leurs solutions car visiblement elles ont déjà à leur disposition le nécessaire pour combler les failles incriminées.
  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Carlton2001 offline Hors ligne Héroïque avatar 888 points
Le #219681
"Les personnes concernées seraient donc bien avisées de tenir à jour leurs solutions car visiblement elles ont déjà à leur disposition le nécessaire pour combler les failles incriminées."

Si c'est le cas alors non, il n'y a rien à reprocher à Crosoft.
Je@nb offline Hors ligne Vétéran avatar 1363 points
Le #219721
Faudrait faire un petit %s/ISS/IIS/g
Luchy offline Hors ligne VIP icone 9182 points
Le #219791
Je@nb >Dans les deux cas, c'est du sport !
nadoudidou offline Hors ligne Vétéran avatar 1093 points
Le #219941
"un cheval de Troie développé pour les jeux en ligne"

lol?
waxime offline Hors ligne Vétéran icone 2246 points
Le #220121
eh ... si on pourrait désactiver les ";" et désactiver les requête sur les tables systêmes dans les requêtes SQL Serveur, ça aiderait un peu contre SQL injection.

au moins les pirates devrons travaillé par essai erreur, là, il ont juste a rajouter des ";" ou ajouter un union à certaines requête ASP mal protégé et ils ont tout le nom des tables et il peuvent supprimer ou ajouter des fichiers sur les serveur en quelques secondes
icone Suivre les commentaires
Poster un commentaire