Microsoft dichiara guerra ai SQL injection

In risposta all'ondata di attacchi SQL injection registrata negli scorsi mesi, Microsoft ha pubblicato tre nuovi tool di sicurezza pensati per aiutare amministratori e sviluppatori ASP a prevenire nuovi attacchi
In risposta all'ondata di attacchi SQL injection registrata negli scorsi mesi, Microsoft ha pubblicato tre nuovi tool di sicurezza pensati per aiutare amministratori e sviluppatori ASP a prevenire nuovi attacchi

Redmond (USA) – Martedì Microsoft ha pubblicato un advisory di sicurezza in relazione alla recente ondata di attacchi di tipo SQL injection che hanno interessato migliaia di server in tutto il mondo. A dispetto dei tipici advisory di BigM, questo non descrive una o più vulnerabilità, ma illustra le caratteristiche di tre nuovi tool di sicurezza pensati per gli amministratori di sistema e gli sviluppatori ASP.

I programmi promossi da Microsoft, tutti scaricabili e utilizzabili gratuitamente, consistono nell’ HP Scrawlr , sviluppato da HP e pensato per aiutare gli amministratori a identificare i siti suscettibili di SQL injection; nell’ UrlScan 3.0 Beta , utilizzabile per restringere il tipo di richieste HTTP elaborate da un server Internet Information Services; e nel Microsoft Source Code Analyzer for SQL Injection , che aiuta invece gli sviluppatori a identificare le porzioni di codice ASP che potrebbero esporre il fianco ad attacchi SQL injection.

Ciascuno dei tre tool fa parte di una strategia di prevenzione divisa in tre fasi : la scansione dei server alla ricerca dei siti vulnerabili (detection); il filtraggio delle richieste HTTP potenzialmente pericolose (defense); e l’analisi del codice alla ricerca delle tipiche debolezze sfruttate dai cracker per gli attacchi SQL injection (identifying). BigM suggerisce inoltre di seguire le linee guide esposte in questo precedente advisory.

“Gli attacchi SQL injection registrati di recente non sfruttano una particolare vulnerabilità del software, ma prendono invece a bersaglio i siti Web che non seguono la prassi più corretta per rendere sicuro l’accesso e la manipolazione dei dati archiviati in un database relazionale”, si legge nell’advisory di Microsoft. “Quando un attacco SQL injection ha successo, un aggressore può compromettere i dati archiviati in questi database ed eventualmente eseguire del codice a distanza. I client che navigano su di un server compromesso possono essere dirottati a loro insaputa verso siti maligni, siti che generalmente tentano di installare malware sul client”.

Lo scorso aprile alcuni aggressori hanno sfruttato la tecnica dell’SQL injection per inoculare un JavaScript maligno in centinaia di migliaia di siti che facevano uso di ASP e di SQL Server. Il JavaScript dirottava gli utenti verso un server contenente vari tipi di malware capaci, a loro volta, di sfruttare delle vulnerabilità di Windows per installare sui client trojan, worm, bot e backdoor.

Link copiato negli appunti

Ti potrebbe interessare

25 06 2008
Link copiato negli appunti