Первая информация об уязвимостях появилась на форумах 17 апреля, на следующий день Microsoft выпустила совет по блокировке атаки с использованием предположительной уязвимости, допускающей повышение привилегий аутентифицированного пользователя до LocalSystem. Среди пострадавших сайтов, кстати, назван aeroflot.ru - что вполне подтверждается. Поиск по зоне .ru вообще дает много любопытных результатов. Под раздачу также попали сайты ООН, американского министерства национальной безопасности и многие другие.

Особенность данного SQL injection в том, что оно передается на сервер в виде вызова функции CAST с параметром в виде куска 16-ричного кода, который она конвертирует в строку, получая на выходе sql-запрос - что делает несколько более сложным его обнаружение и фильтрацию (хотя чтобы эта функция отработала, все равно дело должно дойти до ее исполнения, так что стандартных рекомендаций по фильтрации sql-запросов вполне должно хватить). Далее он пытается внедриться в каждое текстовое поле каждой таблицы - собственно говоря, за счет чего зараженные сайты так удобно искать в гугле - как правило, портится и поле, используемое для формирования заголовка страницы.

Источник: F-Secure

Tweet

теги: iis, microsoft, google, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (3)

[6410]

аналогичные материалы

Google недоступен для части пользователей // dl // 22.12.11 16:15 Гугль решил защититься от будущих атак на свой https-трафик // dl // 24.11.11 01:19 Гуглеплюсное // dl // 08.11.11 18:07 В скандале с сертификатами к Google присоединились Mozilla, Yahoo, Tor и WordPress // dl // 01.09.11 00:17 История с левыми сертификатами затронет не только Google // dl // 31.08.11 11:59 Гугль прикупил немного Моторолы // dl // 15.08.11 16:10 Гуглеплюсноинвайтное // dl // 11.08.11 17:26 Трансляция в Google+ // dl // 16.07.11 16:10 Google прикрывает Translation API // dl // 28.05.11 01:06 Создатель Java ушел в Google // dl // 28.03.11 22:09

Комментарии: Не очень понятно, причём здесь повышение привилегий до LocalSystem 26.04.08 10:42   Автор: ZloyShaman <ZloyShaman> Статус: Senior Member <"чистая" ссылка> Если Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code. может и просто совпадение 26.04.08 14:08   Автор: dl <Dmitry Leonov> <"чистая" ссылка> и правда совпадение 28.04.08 03:18   Автор: dl <Dmitry Leonov> <"чистая" ссылка> http://bugtraq.ru/rsn/archive/2008/04/15.html

<добавить комментарий>

последние новостиBugTraq.Ru: последние новости

Google все-таки стал проверять приложения из Маркета // dl // 03.02.12 19:50 Symantec обнаружила полиморфного андроидного трояна из России // dl // 03.02.12 19:36 8 марта у жертв DNSChanger закончится интернет // dl // 03.02.12 12:01 Критическая уязвимость в PHP // dl // 03.02.12 03:09 Взлом VeriSign // dl // 02.02.12 20:31 Утечка WiFi-паролей в смартфонах HTC // dl // 02.02.12 16:52 Symantec погорячилась насчет 5 миллионов андроидных жертв // dl // 02.02.12 13:40 Symantec дает отмашку на использование pcAnywhere // dl // 01.02.12 12:58 Возможное заражение 5 миллионов пользователей Android // dl // 28.01.12 10:08 Symantec просит прекратить пользоваться pcAnywhere // dl // 26.01.12 01:27