Services
En Chine, des dizaines de milliers de sites Internet sont victimes depuis une semaine d'une importante attaque informatique.
Les pirates informatiques se servent d'injections massives de requêtes SQL pour accéder aux sites Internet de leurs victimes.
Les injections SQL sont un type d'attaque visant à exploiter une faille de sécurité dans une application Web en lui injectant une requête non prévue par le système. Une fois qu'ils ont obtenu l'accès au serveur, les pirates peuvent alors y voler des renseignements importants ou y installer des logiciels malveillants.
« Même si ces pirates ne réussissent pas à accéder à tous les sites Internet qu'ils attaquent, la façon dont ils s'y prennent en submergeant les serveurs de requêtes SQL causent beaucoup de dommages », a expliqué à l'agence de presse IDG Wayne Huang, directeur général d'une firme de sécurité informatique de Taïwan, Armorize Technologies.
Selon Huang, l'attaque informatique a débuté le 13 mai et provient d'un serveur situé lui-aussi en Chine. L'expert soutient que les pirates informatiques qui ont lancé l'attaque ne semblent pas s'inquiéter de la police car ils ne cherchent même pas à dissimuler les adresses IP (Internet Protocol) de leur serveur.
L'importante attaque informatique semble porter fruit car plus de dix mille serveurs en Chine et à Taïwan auraient été infectés par des logiciels malveillants durant la seule journée de vendredi, affirme le directeur général d'Armorize Technologies.
par Christian Leduc
L'attaque exploite une faille du serveur SQL de Microsoft.
@Miguel de quelle faille parles-tu? Il me semble que cet article parle plutot de failles dans les applications web qui permet d'injecter des des requêtes SQL.
Ça ne finiras jamais les fichus faille sur SQLserver, une vrai passoire ce IIS qui ne cesse d'être infiltré et permet la fuite de données confidentielles, ce coup-ci il doit s'agir de celle-ci -> http://www.vnunet.fr/fr/news/2008/04/22/faille_de_serveur_web_microsoft_lance_une_mise_en_garde
le plus souvent ce genre de serveur sont des linux, et il est asser dur de resister a ce genre d'attaques
La grande majorité de ces failles sont causées par les programmeurs qui ne valident pas suffisamment les données enregistrées dans la base de données... Voir www.php.net/mysql_real_escape_string pour avoir un exemple de ce font je veux parler...
C'est du SQL injection. C'est des failles dans la façon de traiter les requêtes SQL. Ça n'a rien à voir avec Microsoft. SVP renseignez-vous avant de dire des sottise.
Les requêtes SQL sont injectés dans quelque chose. Le quelque chose en question est bel et bien Microsoft SQL server:
« That attack exploited a vulnerability in Microsoft Corp.'s SQL Server.»
et
« The malware injected by the attack comes from 1,000 different servers and targets 10 vulnerabilities in Internet Explorer and related plug-ins that are popular in Asia, ».
Source, Computer World Security:
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9086658&source=rss_topic17
Voir aussi le blogue du Washington Post:
http://blog.washingtonpost.com/securityfix/2008/04/hundreds_of_thousands_of_micro_1.html
Oups, frosted a raison finalement:
« In a post to one of its blogs, Microsoft says this attack was not the fault of a flaw in IIS: "..our investigation has shown that there are no new or unknown vulnerabilities being exploited. This wave is not a result of a vulnerability in Internet Information Services or Microsoft SQL Server. »
Source: http://blog.washingtonpost.com/securityfix/2008/04/hundreds_of_thousands_of_micro_1.html
Morale: toujours lire un billet jusqu'au bout avant de l'utiliser en référence :)
Une injection SQL c'est un truc du genre
sql = "SELECT * FROM Users WHERE Name='" + name + "' AND PassWord='" + PassWord + "';"
En gros ça sélectionne un utilisateur selon son nom et mot de passe.
Voila ce qui arrive si quelqu'un fait un "';DROP Users;'" dans le champ "PassWord". Ben en fait c'est que un DROP ça efface la table, donc bye bye Users.
C'est peut-être un peu vague mais bon vous voyez que c'est pas la faute de microsoft.
L'auteur de l'article parle de "y installer des logiciels malveillants"... wow ça j'aimerais apprendre là dessus, quoi ya moyen d'installer des trucs avec des requêtes SQL? Je comprend pas trop là .
Je ne vois pas les sources de l'auteurs, peut-être ne sont-elles pas citées :O
SomeOne: En supposant que les attaquants peuvent effectuer des requêtes SQL, par exemple, insérer des données à distance sur le serveur. Ils pourront ainsi insérer des "logiciels complets" dans des champs des bases de données. Ensuite, si le contenu est lu par un autre système interne, cela peut propager et recopier les logiciels malveillants. Pense aux champs "Image" (en binaire) qui sont souvent présents dans les bases de données.
@SomeOne
Salut,
lord d'un cour d'ASP, notre prof à fait une démonstration des dégâts que peut causé une mauvais gestion des requête SQL.
Le prof à carrément pris le contrôle du serveur SQL de l'école.
Création d'un compte admin dans l'Active directories de Windows, ensuite il s'est connecté et paf ! il avait accès à quasiment tous.
Le pire est que c'est si simple de se protéger contre ...
Pas de SELECT * et passer les valeurs en paramètre.
SQLServer.
Ensuite tas beau écrire se que tu veux comme requêtes ton SELECt est "Blinder". :)
@Seb: Même si l'image binaire complète est storée dans un BLOB (Binary Large OBject), ça prend du code très spécialisé pour l'exécuter comme étant un exécutable valide sur le OS. Ce qui est pratiquement impossible. Je suis de l'avis de SomeOne et je suis très sceptique sur la méthode expliquée dans cette nouvelle.
Source : http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9086658
Voici un résumé pour clarifier le présent article.
"Even if they can't successfully insert malware, they're killing lots of Web sites right now, because they're just brute-forcing every attack surface with SQL injection"
"they are using an automated SQL injection attack engine that is tailored to attack Web sites using SQL Server...to infect targeted Web sites with malware, which in turn exploits vulnerabilities in the browsers of those who visit the Web sites"
"an attacker attempts to exploit vulnerabilities...access to data on the database used by the application and the ability to run malicious code on the Web site"
"The malware injected by the attack comes from 1,000 different servers and targets 10 vulnerabilities in Internet Explorer and related plug-ins"
Comme ils attaquent des sites Web, ils exploitent des vulnérabilités des plug-ins et de Internet Explorer. Exemple : "It could also be possible to display malicious Web content by using banner advertisements or by using other methods to deliver Web content to affected systems" (http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx)
En tant que dba, quand je vois les mots de passe des super-users, je ne m'étonne pas vraiment que l'on puisse accéder facilement à un serveur !
Et le mot de passe ne dépend pas de la bd, microsoft ou oracle... C'est décidé par des humains qui choisissent la facilité.
Et d'ailleurs, avant de beugler systématiquement contre microsoft, oracle est bien loin d'être meilleur au niveau sécurité.
