Após três anos, site da Microsoft.com sofre novo ataque

29/04/2007 Written by Marcelo Almeida (Vympel)

msieak

Desta vez o site do “Kit de Admin­is­tração do Inter­net Explorer” (Microsoft IEAK), foi à vítima do cracker.

O defacer con­hecido como cyb3rt, da Arábia Sau­dita, o mesmo que efe­tuou um ataque de XSS con­tra um dos nos­sos mem­bros, o qual perdeu seu cookie do hot­mail e pos­te­ri­or­mente sua senha no Zone-​H, foi o autor desta invasão. Segundo infor­mações do defacer, a página con­tinha uma falha de SQL Injec­tion no campo de Login do site, por onde ele con­seguiu exe­cu­tar coman­dos arbi­trários de sql e inje­tar o con­teúdo html que alterou a página do sitio da Microsoft IEAK.…

Fal­has de SQL Injec­tion, que geral­mente são explo­radas são as famosas ‘OR’=’ mas com o aper­feiçoa­mento dos pro­gra­ma­dos web os defac­ers começaram a estu­dar mais sobre sql e ten­dem a cada vez mais, dar dores de cabeça para os admin­istradores que não revisam seus códi­gos.

Muitos admin­istradores acham que um ataque deste tipo pode ocor­rer ape­nas em pági­nas que usam ASP ou em for­mulários de logins, mas este tipo de ataque pode ser efe­t­u­ado em qual­quer tipo de página/​linguagem, sendo ela ASP, HTML, PHP ou CFM, a única coisa que muda é a maneira como usuários mali­ciosos às explo­ram.
Sem­pre que hou­ver um erro no trata­mento da con­sulta SQL poderá haver uma falha explorável para os crack­ers.
As mel­hores maneiras de um admin­istrador con­ter tais ataques é revisando o código de suas pági­nas e tra­bal­hando junto à equipe de pro­gra­mação para mostrar a eles como um código com erros podem gerar prob­le­mas futuros.

Como nem sem­pre revisar todo o código é pos­sível, dev­ido a uma grande quan­ti­dade de pági­nas e poucos fun­cionários, mesmo assim, exis­tem maneiras de bar­rar estes ataques utilizando-​se de módu­los para o Apache como mod_​security e usando .htac­cess para restringir a exe­cução de strings sql na URL e ati­vando magic_​quotes na con­fig­u­ração do PHP.
Em servi­dores Win­dows os admin­istradores podem uti­lizar fil­tros dire­ta­mente em suas pági­nas como o mostrado neste site.
Este fil­tro val­ida as expressões uti­lizadas pelos usuários e podem aju­dar o admin­istrador a pre­venir estes ataques.
Uma das maneiras, e talvez seja a mais impor­tante, é sem­pre desati­var o alerta de erros, pois os avi­sos de erros que vão apare­cendo são o que mostram ao cracker onde ele está e como chegar até o banco de dados ou tabela/​coluna que ele está procu­rando para efe­t­uar o ataque.

Para ver a lista dos sites da Microsoft que sofr­eram ataque click aqui.


Share this content: