[NEWS] Microsoft SWI: Attacchi di SQL Injection

[c.m.g]

30 maggio 2008 alle 21.21 di netquik



Sul blog ufficiale "Security Vulnerability Research & Defense" di Microsoft è stato pubblicato un completo articolo dedicato interamente alle recenti tendenze in materia di attacchi web, che segnano una preoccupante diffusione del le tecniche di SQL Injection.

Dal SWI Blog: A partire dall'anno scorso, molti siti web sono stati defacciati per includere tag |script| HTML nel testo che veniva salvato in un database SQL e utilizzato per generare pagine web dinamiche. Questi attacchi hanno iniziato a essere più frequenti nel primo trimestre del 2008 e stanno continuando ad affliggere applicazioni web vulnerabili. Le applicazioni web compromesse condividono diversi aspetti comuni: l'applicazione utilizza codice ASP classico; l'applicazione utilizza un database SQL server; il codice dell'applicazione genera query SQL dinamici basate su stringhe di query URI.


Si tratta di un nuovo approccio di SQL injection. Nel passato, gli attacchi di SQL injection miravano a specifiche applicazioni web dove le vulnerabilità e la struttura del database sottostante erano conosciute o scoperte dall'attacker. Questo attacco differisce perché è stato reso astratto in modo che sia possibile attaccare virtualmente qualsiasi vulnerabilità presente in una pagina ASP che crea query SQL dinamiche partendo dalle stringhe query URI. Ulteriori dettagli tecnici e un walkthrough delle specifiche sono disponibili sul blog di Neil Carpenter (ingegnere del PSS Security Support Team).

Questo attacco non sfrutta vulnerabilità in Windows, IIS, SQL Server, o in altri codici di infrastruttura; piuttosto, sfrutta vulnerabilità nelle applicazioni web personalizzate che si eseguono su questa infrastruttura. Microsoft ha indagato su questi attacchi in maniera approfondita e ha determinato che non sono legate a nessuna vulnerabilità corretta o 0-day nei prodotti Microsoft. Maggiori informazioni possono essere trovate sul blog ufficiale del MSRC.


Come detto prima, questi attacchi stanno diventando sempre più frequenti durante l'anno. Questo sembra legato almeno a due fattori. Prima di tutto, esiste uno strumento malevolo che si trova in-the-wild che automatizza questo processo. SANS parla di questo strumento qui: http://isc.sans.org/diary.html?storyid=4294. Il tool utilizza i motori di ricerca per trovare siti vulnerabili ad iniezioni SQL. Il secondo fattore sta nel fatto che uno o più bot nocivi stanno ora lanciando attacchi di SQL injection come modo di diffondere ulteriormente il bot. SecureWorks ne discute un esempio. Quando un server è stato compromesso utilizzando questo attacco, inizia ad includere un tag malizioso |script| che punta ad un file .js. Sebbene i contenuti di questi file differiscano, tentano tutti di sfruttare varie vulnerabilità tra cui falle già corrette da Microsoft e controlli ActiveX 3rd-party vulnerabili. Dato che questi script sono ospitati in modo indipendente, è possibile che vengano modificati rapidamente per sfruttare nuove vulnerabilità e facilmente personalizzati per colpire su base "per browser".

Microsoft fornisce nel blog post suggerimenti per amministratori IT/database, volti a limitare il rischio di modifiche non autorizzate ai propri codici di infrastruttura, e per sviluppatori web, in modo da suggerire delle "best practice" per la scrittura del codice delle applicazioni web. Infine il team SWI offre raccomandazioni per gli utenti finali: navigare in internet in maniera responsabile, valutare la possibilità che anche i siti fidati siano stati modificati con contenuti nocivi (e quindi osservare modifiche nel loro funzionamento) e mantenere aggiornati i propri sistemi con aggiornamenti di protezione, sia Microsoft sia 3rd party. Microsoft consiglia anche di disattivare i controlli ActiveX e gli add-on di Internet Explorer non necessari, come descritto nell'articolo KB883256 (istruzioni valide da XP SP2 in poi) e KB154036 (istruzioni valide per i sistemi Windows precedenti), e prendere simili prevedimenti per ridurre la superficie di attacco di eventuali browser 3rd party (aggiornamenti di sicurezza e disattivazione di estensioni non necessarie). Ovviamente Microsoft ricorda che gli utenti dovrebbero assicurarsi di star eseguendo un software anti-malware (anti-virus e anti-spyware) sul proprio sistema e di mantenere questo prodotto aggiornato.


Link per approfondimenti:
Security Vulnerability Research & Defense Blog


Fonte: SWI Blog via Tweakness