Az utóbbi időben egyre több olyan hír jelent meg a világhálón, amelyek szerint durva hiba lehet a Windows-ban, az IIS-ben vagy az SQL Serverben, mert sorra hullanak azok a szerverek, melyek ezeket használják. Április 17-én a Microsoft kiadott egy Security Advisory-t (951306), amely azonban nem írt arról, hogy pontosan mi a hiba oka, csak azt tette egyértelművé, hogy nincs patch, mi javítaná.
Nos, azóta a Microsoft jobban utánajárt a dolognak és kiderítették, hogy nem termék hibáról van szó, hanem SQL injection módszerrel sikerült megfektetni az érintett webhelyeket. Azaz a webhely programozója tehet arról, hogy security bugot hagyott a kódjában. Számomra ugyan meglepő, hogy ez a támadási módszer a mai napig ilyen jól működik, de hát elég sok régi kód van még sok helyen használatban…
A Microsoft részletes válasza megtalálható ezeken a címeken:
- http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx
- http://blogs.iis.net/bills/archive/2008/04/25/sql-injection-attacks-on-iis-web-servers.aspx
A lényeg:
- Nem találtak hibát Microsoft termékben, amit ez a támadási hullám kihasználna.
- A támadásokat SQL injectionön keresztül hajtották végre.
- A támadás teljesen automatikus, egy január óta működő web bot keresők segítségével megtalálja a támadható weblapokat. Egyelőre nem ismert (vagy nem publikus) hogy milyen kifejezésre keres ez a web bot. Gyaníthatóan .asp és .aspx kiterjesztésű oldalakra vadászik.
Akinek esetleg még új az SQL injection fogalma, annak nagyon tudom javasolni Scott Guthrie rövid írását a témáról.
