Первая информация об уязвимостях появилась на форумах 17 апреля, на следующий день Microsoft выпустила совет по блокировке атаки с использованием предположительной уязвимости, допускающей повышение привилегий аутентифицированного пользователя до LocalSystem. Среди пострадавших сайтов, кстати, назван aeroflot.ru - что вполне подтверждается. Поиск по зоне .ru вообще дает много любопытных результатов. Под раздачу также попали сайты ООН, американского министерства национальной безопасности и многие другие.

Особенность данного SQL injection в том, что оно передается на сервер в виде вызова функции CAST с параметром в виде куска 16-ричного кода, который она конвертирует в строку, получая на выходе sql-запрос - что делает несколько более сложным его обнаружение и фильтрацию (хотя чтобы эта функция отработала, все равно дело должно дойти до ее исполнения, так что стандартных рекомендаций по фильтрации sql-запросов вполне должно хватить). Далее он пытается внедриться в каждое текстовое поле каждой таблицы - собственно говоря, за счет чего зараженные сайты так удобно искать в гугле - как правило, портится и поле, используемое для формирования заголовка страницы.

Источник: F-Secure

теги: iis, microsoft, google, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (3)

[5304]

аналогичные материалы

Перетягивание флага // dl // 15.02.10 00:39 Adobe потеряла патч для Flash на 16 месяцев // dl // 09.02.10 20:32 Четвертый Хром // dl // 26.01.10 10:06 Антивирус Касперского принял Adsense за троян // dl // 25.01.10 21:26 Внеочередной патч IE // dl // 21.01.10 23:27 Массовая атака с помощью pdf-уязвимости // dl // 14.01.10 23:45 Adobe пообещала залатать Акробат через месяц // dl // 16.12.09 22:47 Гугль запустил сайт с расширениями для Chrome // dl // 09.12.09 00:19 Гугль запустил публичный DNS resolver // dl // 03.12.09 22:45 Удаленное замораживание Window 7 и Server 2008 R2 // dl // 12.11.09 16:55

Комментарии: Не очень понятно, причём здесь повышение привилегий до LocalSystem 26.04.08 10:42   Автор: ZloyShaman <ZloyShaman> Статус: Senior Member <"чистая" ссылка> Если Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code. может и просто совпадение 26.04.08 14:08   Автор: dl <Dmitry Leonov> <"чистая" ссылка> и правда совпадение 28.04.08 03:18   Автор: dl <Dmitry Leonov> <"чистая" ссылка> http://bugtraq.ru/rsn/archive/2008/04/15.html

<добавить комментарий>

последние новостиBugTraq.Ru: последние новости

Мартовские обновления от MS // dl // 09.03.10 23:16 Гуглехакеры могли получить доступ к исходникам атакованных компаний // dl // 04.03.10 09:23 torrents.ru/rutracker.org опять недоступен... и вновь доступен // dl // 19.02.10 15:05 Руткитно-патчевые проблемы // dl // 18.02.10 21:57 RU-CENTER приостановил делегирование torrents.ru // dl // 18.02.10 18:02 Перетягивание флага // dl // 15.02.10 00:39 Adobe выпустил патч для Flash, на подходе Reader // dl // 12.02.10 16:45 MS отозвала патч 17-летней уязвимости // dl // 12.02.10 13:27 Февральские обновления от MS // dl // 09.02.10 23:34 Adobe потеряла патч для Flash на 16 месяцев // dl // 09.02.10 20:32