c.m.g
31-05-2008, 10:53
30 maggio 2008 alle 21.21 di netquik
http://www.tweakness.net/imgarchive/hacker2s.jpg
Sul blog ufficiale "Security Vulnerability Research & Defense" di Microsoft è stato pubblicato un completo articolo dedicato interamente alle recenti tendenze in materia di attacchi web, che segnano una preoccupante diffusione del le tecniche di SQL Injection (http://www.tweakness.net/news.php?&keys=sql&wherenews=HEADER).
Dal SWI Blog (http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx): A partire dall'anno scorso, molti siti web sono stati defacciati per includere tag |script| HTML nel testo che veniva salvato in un database SQL e utilizzato per generare pagine web dinamiche. Questi attacchi hanno iniziato a essere più frequenti nel primo trimestre del 2008 e stanno continuando ad affliggere applicazioni web vulnerabili. Le applicazioni web compromesse condividono diversi aspetti comuni: l'applicazione utilizza codice ASP classico; l'applicazione utilizza un database SQL server; il codice dell'applicazione genera query SQL dinamici basate su stringhe di query URI.
Si tratta di un nuovo approccio di SQL injection (http://msdn.microsoft.com/en-us/library/ms161953.aspx). Nel passato, gli attacchi di SQL injection miravano a specifiche applicazioni web dove le vulnerabilità e la struttura del database sottostante erano conosciute o scoperte dall'attacker. Questo attacco differisce perché è stato reso astratto in modo che sia possibile attaccare virtualmente qualsiasi vulnerabilità presente in una pagina ASP che crea query SQL dinamiche partendo dalle stringhe query URI. Ulteriori dettagli tecnici e un walkthrough delle specifiche sono disponibili sul blog di Neil Carpenter (http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx) (ingegnere del PSS Security Support Team).
Questo attacco non sfrutta vulnerabilità in Windows, IIS, SQL Server, o in altri codici di infrastruttura; piuttosto, sfrutta vulnerabilità nelle applicazioni web personalizzate che si eseguono su questa infrastruttura. Microsoft ha indagato su questi attacchi in maniera approfondita e ha determinato che non sono legate a nessuna vulnerabilità corretta o 0-day nei prodotti Microsoft. Maggiori informazioni possono essere trovate sul blog ufficiale del MSRC (http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx).
Come detto prima, questi attacchi stanno diventando sempre più frequenti durante l'anno. Questo sembra legato almeno a due fattori. Prima di tutto, esiste uno strumento malevolo che si trova in-the-wild che automatizza questo processo. SANS parla di questo strumento qui: http://isc.sans.org/diary.html?storyid=4294. Il tool utilizza i motori di ricerca per trovare siti vulnerabili ad iniezioni SQL. Il secondo fattore sta nel fatto che uno o più bot nocivi stanno ora lanciando attacchi di SQL injection come modo di diffondere ulteriormente il bot. SecureWorks ne discute un esempio (http://www.secureworks.com/research/threats/danmecasprox). Quando un server è stato compromesso utilizzando questo attacco, inizia ad includere un tag malizioso |script| che punta ad un file .js. Sebbene i contenuti di questi file differiscano, tentano tutti di sfruttare varie vulnerabilità tra cui falle già corrette da Microsoft e controlli ActiveX 3rd-party vulnerabili. Dato che questi script sono ospitati in modo indipendente, è possibile che vengano modificati rapidamente per sfruttare nuove vulnerabilità e facilmente personalizzati per colpire su base "per browser".
Microsoft fornisce nel blog post suggerimenti per amministratori IT/database, volti a limitare il rischio di modifiche non autorizzate ai propri codici di infrastruttura, e per sviluppatori web, in modo da suggerire delle "best practice" per la scrittura del codice delle applicazioni web. Infine il team SWI offre raccomandazioni per gli utenti finali: navigare in internet in maniera responsabile, valutare la possibilità che anche i siti fidati siano stati modificati con contenuti nocivi (e quindi osservare modifiche nel loro funzionamento) e mantenere aggiornati i propri sistemi con aggiornamenti di protezione, sia Microsoft sia 3rd party. Microsoft consiglia anche di disattivare i controlli ActiveX e gli add-on di Internet Explorer non necessari, come descritto nell'articolo KB883256 (http://support.microsoft.com/kb/883256) (istruzioni valide da XP SP2 in poi) e KB154036 (http://support.microsoft.com/kb/154036) (istruzioni valide per i sistemi Windows precedenti), e prendere simili prevedimenti per ridurre la superficie di attacco di eventuali browser 3rd party (aggiornamenti di sicurezza e disattivazione di estensioni non necessarie). Ovviamente Microsoft ricorda che gli utenti dovrebbero assicurarsi di star eseguendo un software anti-malware (anti-virus (http://www.microsoft.com/protect/computer/antivirus/OS.aspx) e anti-spyware (http://www.microsoft.com/protect/computer/antispyware/OS.aspx)) sul proprio sistema e di mantenere questo prodotto aggiornato.
Link per approfondimenti:
Security Vulnerability Research & Defense Blog (http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx)
Fonte: SWI Blog (http://blogs.technet.com/swi) via Tweakness (http://www.tweakness.net/index.php?topic=4560)
http://www.tweakness.net/imgarchive/hacker2s.jpg
Sul blog ufficiale "Security Vulnerability Research & Defense" di Microsoft è stato pubblicato un completo articolo dedicato interamente alle recenti tendenze in materia di attacchi web, che segnano una preoccupante diffusione del le tecniche di SQL Injection (http://www.tweakness.net/news.php?&keys=sql&wherenews=HEADER).
Dal SWI Blog (http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx): A partire dall'anno scorso, molti siti web sono stati defacciati per includere tag |script| HTML nel testo che veniva salvato in un database SQL e utilizzato per generare pagine web dinamiche. Questi attacchi hanno iniziato a essere più frequenti nel primo trimestre del 2008 e stanno continuando ad affliggere applicazioni web vulnerabili. Le applicazioni web compromesse condividono diversi aspetti comuni: l'applicazione utilizza codice ASP classico; l'applicazione utilizza un database SQL server; il codice dell'applicazione genera query SQL dinamici basate su stringhe di query URI.
Si tratta di un nuovo approccio di SQL injection (http://msdn.microsoft.com/en-us/library/ms161953.aspx). Nel passato, gli attacchi di SQL injection miravano a specifiche applicazioni web dove le vulnerabilità e la struttura del database sottostante erano conosciute o scoperte dall'attacker. Questo attacco differisce perché è stato reso astratto in modo che sia possibile attaccare virtualmente qualsiasi vulnerabilità presente in una pagina ASP che crea query SQL dinamiche partendo dalle stringhe query URI. Ulteriori dettagli tecnici e un walkthrough delle specifiche sono disponibili sul blog di Neil Carpenter (http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx) (ingegnere del PSS Security Support Team).
Questo attacco non sfrutta vulnerabilità in Windows, IIS, SQL Server, o in altri codici di infrastruttura; piuttosto, sfrutta vulnerabilità nelle applicazioni web personalizzate che si eseguono su questa infrastruttura. Microsoft ha indagato su questi attacchi in maniera approfondita e ha determinato che non sono legate a nessuna vulnerabilità corretta o 0-day nei prodotti Microsoft. Maggiori informazioni possono essere trovate sul blog ufficiale del MSRC (http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx).
Come detto prima, questi attacchi stanno diventando sempre più frequenti durante l'anno. Questo sembra legato almeno a due fattori. Prima di tutto, esiste uno strumento malevolo che si trova in-the-wild che automatizza questo processo. SANS parla di questo strumento qui: http://isc.sans.org/diary.html?storyid=4294. Il tool utilizza i motori di ricerca per trovare siti vulnerabili ad iniezioni SQL. Il secondo fattore sta nel fatto che uno o più bot nocivi stanno ora lanciando attacchi di SQL injection come modo di diffondere ulteriormente il bot. SecureWorks ne discute un esempio (http://www.secureworks.com/research/threats/danmecasprox). Quando un server è stato compromesso utilizzando questo attacco, inizia ad includere un tag malizioso |script| che punta ad un file .js. Sebbene i contenuti di questi file differiscano, tentano tutti di sfruttare varie vulnerabilità tra cui falle già corrette da Microsoft e controlli ActiveX 3rd-party vulnerabili. Dato che questi script sono ospitati in modo indipendente, è possibile che vengano modificati rapidamente per sfruttare nuove vulnerabilità e facilmente personalizzati per colpire su base "per browser".
Microsoft fornisce nel blog post suggerimenti per amministratori IT/database, volti a limitare il rischio di modifiche non autorizzate ai propri codici di infrastruttura, e per sviluppatori web, in modo da suggerire delle "best practice" per la scrittura del codice delle applicazioni web. Infine il team SWI offre raccomandazioni per gli utenti finali: navigare in internet in maniera responsabile, valutare la possibilità che anche i siti fidati siano stati modificati con contenuti nocivi (e quindi osservare modifiche nel loro funzionamento) e mantenere aggiornati i propri sistemi con aggiornamenti di protezione, sia Microsoft sia 3rd party. Microsoft consiglia anche di disattivare i controlli ActiveX e gli add-on di Internet Explorer non necessari, come descritto nell'articolo KB883256 (http://support.microsoft.com/kb/883256) (istruzioni valide da XP SP2 in poi) e KB154036 (http://support.microsoft.com/kb/154036) (istruzioni valide per i sistemi Windows precedenti), e prendere simili prevedimenti per ridurre la superficie di attacco di eventuali browser 3rd party (aggiornamenti di sicurezza e disattivazione di estensioni non necessarie). Ovviamente Microsoft ricorda che gli utenti dovrebbero assicurarsi di star eseguendo un software anti-malware (anti-virus (http://www.microsoft.com/protect/computer/antivirus/OS.aspx) e anti-spyware (http://www.microsoft.com/protect/computer/antispyware/OS.aspx)) sul proprio sistema e di mantenere questo prodotto aggiornato.
Link per approfondimenti:
Security Vulnerability Research & Defense Blog (http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx)
Fonte: SWI Blog (http://blogs.technet.com/swi) via Tweakness (http://www.tweakness.net/index.php?topic=4560)