Alfonso Maruccia

SQL injection, il superattacco

Ignoti cyber-criminali stanno facendo furore cavalcando una vulnerabilitÓ presente in vecchie versioni di SQL Server, infettando milioni di URL nel giro di pochissimi giorni

Roma - Un nuovo spettro di insicurezza si aggira per il web, nella forma di un attacco SQL Injection in grado di proliferare in maniera automatica prendendo di mira una ignota vulnerabilità (o le vulnerabilità) presente nei siti web basati su piattaforma Microsoft SQL Server 2003 e 2005.

L'attacco, noto come "LizaMoon", è riuscito a raggiungere la ragguardevole cifra di 3,8 milioni di URL infette in soli tre giorni, inserendo link a file JavaScript malevoli in indirizzi web altrimenti pienamente legittimi.

L'effetto dell'attacco è appariscente e potenzialmente molto dannoso, visto che LizaMoon è programmato per aprire un pop-up con falsi allarmi antivirali con l'obiettivo di invogliare l'utente a installare "Windows Stability Center" (WSC), un rogue antivirus dalla utilità nulla.
Attualmente non è nota l'origine del problema, se si tratti cioè di una vulnerabilità in SQL Server o della presenza sui server web di CMS obsoleti e dunque facili da usare per portare a termine intenti malevoli. Il fatto che WSC sia già riconosciuto dai software antivirali legittimi come minaccia dovrebbe infine servire a mitigare in larga parte gli effetti nefasti di LizaMoon.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSiti militari e del governo italiano, crack vendonsiUn cracker Ŕ riuscito a penetrare in svariati siti di valore istituzionale e ora offre l'accesso a informazioni e interfacce di controllo a prezzi abbordabili. Molte le vittime, governo italiano incluso
  • SicurezzaSicurezza online, danni e beffeImportanti siti web cadono vittima di vulnerabilitÓ laddove dovrebbero avere le difese pi¨ forti, societÓ di sicurezza dispensano consigli sui nuovi rischi del cloud computing mentre gestiscono portali-colabrodo
53 Commenti alla Notizia SQL injection, il superattacco
Ordina
  • La "vulnerabilità" non è poi tanto ignota.
    Si chiama ignoranza del prorgrammatore, ovvero incapacità di scrivere codice decente per la gestione dei data base.
    Se non filtri gli input (abc della programmazione sui data base) e non usi stored esponi i fianchi ad attacchi di questo genere.
    Deve essere la stessa "vulnrabilità" da cui sono afflitti i pietosi articoli del Maruccia, che parla di cose di cui non conosce nemmeno l'ombra, un pò come i "programmatori sql express" dei vari siti attaccati.
    non+autenticato
  • - Scritto da: asino che vola
    > La "vulnerabilità" non è poi tanto ignota.
    > Si chiama ignoranza del prorgrammatore, ovvero
    > incapacità di scrivere codice decente per la
    > gestione dei data base.
    > Se non filtri gli input (abc della programmazione
    > sui data base) e non usi stored esponi i fianchi
    > ad attacchi di questo genere.
    > Deve essere la stessa "vulnrabilità" da cui sono
    > afflitti i pietosi articoli del Maruccia, che
    > parla di cose di cui non conosce nemmeno l'ombra,
    > un pò come i "programmatori sql express" dei vari
    > siti attaccati.

    Si ma... I CMS esposti ? ? ?
    krane
    22544
  • Ma che cavolo di notizia è? Ma state scherzando spero...
    non+autenticato
  • Questa non è una vulnerabilità di sql server. Dallo stesso sito che hai linkato si può leggere questo:

    Q: Could this mean that there's a vulnerability in Microsoft SQL Server 2003 and 2005?
    A: No. Everything points to that this is a vulnerability in a web application. We don't know which one(s) yet but SQL Injection attacks work by issuing SQL commands in unsanitized input to the server. That doesn't mean it's a vulnerability in the SQL Server itself, it means that the web application isn't filtering input from the user correctly.


    Insomma il solito problema di programmatori incapaci, che non usano i prepared statement per eseguire query su database.

    http://xkcd.com/327/
    non+autenticato
  • Parole sante. Il fatto che ci siano ancora degli imbecilli che non usano le query parametriche è desolante.
  • Basta anche usare un po' di parentesi al posto giusto, senza nemmeno prendersi il disturbo di usare Stored Procedure e Query parametrizzate.
    non+autenticato
  • stai confondendo metodi, situazioni e condizioni

    le sql injection sono SEMPRE dovute a mancato sanitizzazione degli input da parte delle web applications

    nel caso in questione hanno visto che sono stati attaccati siti basati su sql server ( magari gli sta antipatico )

    il punto è che, come dicevo poco più sopra, sql server permette di semplificare l'exploiting di questi bug perchè consente il concatenamento di comandi sql in un'unica riga

    mysql non lo permette e quindi ti ritrovi a poter ficare un comando che legge una certa entry in una tabella ma poi non lo puoi concatenare con un update e quindi l'exploit fallisce

    tengo a precisare che si sono altri dbms che fanno la stessa cosa di sql server e probabilmente consentono di eseguire lo stesso exploit ma nel caso in oggetto, i ricercatori hanno trovato siti web basati su sql server infettati e non siti web basati su oracle infettati
    non+autenticato
  • Si beh... il fatto che "conceda di fare più cose" non mi sembra un punto negativo. Ovvio, aumentanto le potenzialità aumenti anche le attenzioni da avere nello scrivere applicazioni.
    Altrimenti torniamo tutti al dos, al web con pagine statiche senza immagini, ad email testuali senza allegati o quant'altro ecc ecc.

    Detto questo, che venga attaccato www.MySql.com, che si indichi MsSqlServer, che la notizia sia il 1░ aprile, che si dia la colpa a una vulnerabilità di mssqlserver per sqlinjection... puzza di pesce avariato!
    non+autenticato
  • - Scritto da: collione

    > mysql non lo permette e quindi ti ritrovi a poter
    > ficare un comando che legge una certa entry in
    > una tabella ma poi non lo puoi concatenare con un
    > update e quindi l'exploit
    > fallisce

    Quindi mysql.com è stato bucato con una sql injection perché usa sql server?

    http://www.eweek.com/c/a/Security/Oracles-Suncom-H.../

    LOL
    non+autenticato
  • > mysql non lo permette e quindi ti ritrovi a poter
    > ficare un comando che legge una certa entry in
    > una tabella ma poi non lo puoi concatenare con un
    > update e quindi l'exploit
    > fallisce

    Ho guardato parecchie tonnellate di log dell'attacco: con il razzo che attacca solo MSSQL. A mio parere riuscirebbe in svariati casi a lavorare anche su mysql e famiglia, anche se alcuni tentativi più "audaci" sono fatti apposta per mssql.
    non+autenticato
  • - Scritto da: collione
    >
    > mysql non lo permette e quindi ti ritrovi a poter
    > ficare un comando che legge una certa entry in
    > una tabella ma poi non lo puoi concatenare con un
    > update e quindi l'exploit
    > fallisce
    >

    è chiaro che madonna dell'incoroneta DB non consenta di fare qualcosa essendo un cesso che di DBMS ha ben poco.
    non+autenticato
  • ho amici che hanno siti web con forum ...Os LinuS Debian

    anche loro sono caduti in questo attacco che poi deviava il browser web dei naviganti a sito tarocco che mediante il raggiro del pollo di turno incitava a far scaricare ed installare il finto antivirus cercando di convincere il solito boccalone
    Fiber
    3605
  • Con "questo attacco" intendi l'attacco a SQL Server? mi sembra un po' improbabile che girasse sotto Debian;)
    Se invece intendi un generico attacco di SQL injection, allora semplicemente il forum conteneva codice scritto male (come molto probabilmente nel caso dell'attacco oggetto dell'articolo).
    Il sistema operativo usato è totalmente ininfluente dal punto di vista di vulnerabilità a sql injection, al massimo può influenzare la misura nella quale il server può essere compromesso al di là della modifica dei contenuti del database e del web server.

    Quindi il tuo messaggio, per come è scritto, odora un po' di trollata.
    non+autenticato
  • - Scritto da: Klut
    > Con "questo attacco" intendi l'attacco a SQL
    > Server? mi sembra un po' improbabile che girasse
    > sotto
    > Debian;)
    > Se invece intendi un generico attacco di SQL
    > injection, allora semplicemente il forum
    > conteneva codice scritto male (come molto
    > probabilmente nel caso dell'attacco oggetto
    > dell'articolo).
    > Il sistema operativo usato è totalmente
    > ininfluente dal punto di vista di vulnerabilità a
    > sql injection, al massimo può influenzare la
    > misura nella quale il server può essere
    > compromesso al di là della modifica dei contenuti
    > del database e del web
    > server.
    >
    > Quindi il tuo messaggio, per come è scritto,
    > odora un po' di
    > trollata.


    http://punto-informatico.it/3123945/PI/News/lizamo...
    Fiber
    3605
  • meno demagogia no eh? "una vulnerabilità presente in vecchie versioni di SQL Server"

    adesso vienimi a dire che sql server gira su debian Rotola dal ridere

    capisco che ti pagano per leccare le scarpe al padrone di Redmond, ma almeno se dovete fare i servi fatelo in modo intelligente
    non+autenticato
  • - Scritto da: collione
    > meno demagogia no eh? "una vulnerabilità presente
    > in vecchie versioni di SQL Server"

    > adesso vienimi a dire che sql server gira su
    > debian
    > Rotola dal ridere

    > capisco che ti pagano per leccare le scarpe al
    > padrone di Redmond, ma almeno se dovete fare i
    > servi fatelo in modo intelligente

    Se avessero abbastanza intelligenza non farebbero i serviSorride
    krane
    22544
  • tempo fa un certo nome e cognome si arrabbiò quando gli feci notare che il web ( dominato da linux ) vede in pole position i software ms tra i bucati

    sarà un caso? forse i malfattori conoscono solo windows ? o magari fu quel punto e virgola che mise il primo chiodo sulla bara di sql server?

    ah quel punto e virgola, se non fosse per lui, il 90% delle sql injection a danno di sql server sarebbero impossibili, ma si sa a Redmond lavorano per il benessere dei crackerA bocca aperta
    non+autenticato
  • Leggendo qui:
    http://www.orebla.it/news/31_03_2011/sql-injection.../
    sembra che il problema non riguardi MS, piuttosto MySql.
    non+autenticato
  • - Scritto da: Miki
    > Leggendo qui:
    > http://www.orebla.it/news/31_03_2011/sql-injection
    > sembra che il problema non riguardi MS, piuttosto
    > MySql.

    no, si tratta di 2 attacchi diversi.
    quello di mysql e' questo http://alturl.com/d9nv2

    questi invece usano ms sql:
    http://alturl.com/mp883
    non+autenticato
  • O meglio mysql.com (e sun.com), non MySQL. Il loro sito può essere vulnerabile per mille motivi, pochi dei quali potrebbero essere attribuibili al DBMS.

    - Scritto da: Miki
    > Leggendo qui:
    > http://www.orebla.it/news/31_03_2011/sql-injection
    > sembra che il problema non riguardi MS, piuttosto
    > MySql.
    non+autenticato
  • Scommetto il mio uccello che dipende da quella mondezza di Wordpress o Joomla o PhpFuck, non aggiornato, con il padre di "Vergine Maria_Santissima_DB" (MySql) bacato.

    SQL server è ok, non sparare sempre a zero su microsoft, e che palle.
    non+autenticato
  • don't feed the troll
  • - Scritto da: ZioB
    > Scommetto il mio uccello che dipende da quella
    > mondezza di Wordpress o Joomla o PhpFuck, non
    > aggiornato, con il padre di "Vergine
    > Maria_Santissima_DB" (MySql)
    > bacato.

    Comincia a tagliare...
    http://alturl.com/mp883
    non+autenticato
  • Il problema non è solo di SQL server ma anche Mysql Postgre ecc.. la injection è una tecnica stupida da prevenire, solo che il 90% dei developers lo è per sport o hanno poca esperienza in gestione database e sicurezza.
    Metti che i CMS sono tutti uguali se uno ha una falla e non è aggiornato il danno è enorme. Mi hanno chiamato ieri per un problema a Wordpress 2.0 che ha avuto l'attacco con Mysql.
    non+autenticato
  • Nessuno dei prodotti citati è tipicamente associato a SQL Server, se non in una percentuale irrisoria dei casi.
    Poi è ovvio che è una trollata.

    - Scritto da: ZioB
    > Scommetto il mio uccello che dipende da quella
    > mondezza di Wordpress o Joomla o PhpFuck, non
    > aggiornato, con il padre di "Vergine
    > Maria_Santissima_DB" (MySql)
    > bacato.
    >
    > SQL server è ok, non sparare sempre a zero su
    > microsoft, e che
    > palle.
    non+autenticato
  • si parla di sql injection e ovviamente l'injection è a danno del cms o della webapp di turno ma rimane il fatto che le sql injection sono facilissime da realizzare con sql server perchè è possibile concatenare più statements sql tramite il punto virgola che citavo

    ho visto migliaia di injection che sarebbero state impossibili se solo sql server, come mysql, avesse rinunciato alla possibilità del concatenamento
    non+autenticato
  • - Scritto da: collione
    > tempo fa un certo nome e cognome si arrabbiò
    > quando gli feci notare che il web ( dominato da
    > linux ) vede in pole position i software ms tra i
    > bucati
    >
    > sarà un caso? forse i malfattori conoscono solo
    > windows ? o magari fu quel punto e virgola che
    > mise il primo chiodo sulla bara di sql
    > server?
    >
    > ah quel punto e virgola, se non fosse per lui, il
    > 90% delle sql injection a danno di sql server
    > sarebbero impossibili, ma si sa a Redmond
    > lavorano per il benessere dei cracker
    >A bocca aperta

    Probabilmente non sai minimamente di cosa parli. Tutto sta nel come vengono gestiti gli input da parte della pagina lato server che sia oracle, mysql, sql server non ha importanza. Personalmente ho avuto più problemi con php + mysql , soprattutto con e-commerce basati su oscommerce.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)