Первая информация об уязвимостях появилась на форумах 17 апреля, на следующий день Microsoft выпустила совет по блокировке атаки с использованием предположительной уязвимости, допускающей повышение привилегий аутентифицированного пользователя до LocalSystem. Среди пострадавших сайтов, кстати, назван aeroflot.ru - что вполне подтверждается. Поиск по зоне .ru вообще дает много любопытных результатов. Под раздачу также попали сайты ООН, американского министерства национальной безопасности и многие другие.

Особенность данного SQL injection в том, что оно передается на сервер в виде вызова функции CAST с параметром в виде куска 16-ричного кода, который она конвертирует в строку, получая на выходе sql-запрос - что делает несколько более сложным его обнаружение и фильтрацию (хотя чтобы эта функция отработала, все равно дело должно дойти до ее исполнения, так что стандартных рекомендаций по фильтрации sql-запросов вполне должно хватить). Далее он пытается внедриться в каждое текстовое поле каждой таблицы - собственно говоря, за счет чего зараженные сайты так удобно искать в гугле - как правило, портится и поле, используемое для формирования заголовка страницы.

Источник: F-Secure

Tweet

теги: iis, microsoft, google, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (3)

[5531]

аналогичные материалы

Миллионы домашних роутеров оказались уязвимыми // dl // 22.07.10 10:53 Google выпустила образцово-дырявое веб-приложение // dl // 06.05.10 01:17 Создателю С придется сдать по нему тест // dl // 21.04.10 23:15 Google не нашел у себя проблем // dl // 21.04.10 16:02 Парольные проблемы у Google // dl // 20.04.10 11:22 Перетягивание флага // dl // 15.02.10 00:39 Adobe потеряла патч для Flash на 16 месяцев // dl // 09.02.10 20:32 Четвертый Хром // dl // 26.01.10 10:06 Антивирус Касперского принял Adsense за троян // dl // 25.01.10 21:26 Внеочередной патч IE // dl // 21.01.10 23:27

Комментарии: Не очень понятно, причём здесь повышение привилегий до LocalSystem 26.04.08 10:42   Автор: ZloyShaman <ZloyShaman> Статус: Senior Member <"чистая" ссылка> Если Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code. может и просто совпадение 26.04.08 14:08   Автор: dl <Dmitry Leonov> <"чистая" ссылка> и правда совпадение 28.04.08 03:18   Автор: dl <Dmitry Leonov> <"чистая" ссылка> http://bugtraq.ru/rsn/archive/2008/04/15.html

<добавить комментарий>

последние новостиBugTraq.Ru: последние новости

Бэкдор в QuickTime // dl // 03.09.10 01:51 Microsoft выпустила заглушку, блокирующую подделку dll, и инструмент для ее быстрого использования // dl // 02.09.10 00:26 Некоторые "хакеры" сами сдают себя Microsoft // dl // 27.08.10 18:25 Intel прикупит McAfee // dl // 19.08.10 22:15 Августовские обновления от MS // dl // 10.08.10 22:24 Внеочередное обновление от MS // dl // 05.08.10 00:03 Oracle обновила Java, поломав Eclipse // dl // 29.07.10 20:35 Личная информация сотни миллионов пользователей FaceBook доступна для скачивания // dl // 29.07.10 15:42 Ключи от Интернета // dl // 28.07.10 12:17 В Америке легализовали джейлбрейкинг и взлом DVD // dl // 26.07.10 21:40