Eli
634meneos

500.000 servidores web de Microsoft hackeados

www.f-secure.com/weblog/archives/00001427.html 
por DZPM el 25-04-2008 19:24 UTC, publicado el 25-04-2008 20:00 UTC

Más de medio millón de servidores web de Microsoft, incluyendo servidores de Naciones Unidas y del gobierno de UK, han sido víctimas de una inyección SQL. El ataque inserta javascript malicioso que apunta a los clientes a los servidores nmidahena.com, aspder.com o nihaorr1.com, que usan otro set de exploits para instalar un troyano en el ordenador del cliente. Los usuarios de Firefox con NoScript estamos seguros contra el exploit de cliente, pero los administradores de servidores Windows tienen que estar alerta. Sigue en #1

 65 comentarios en: tecnología, seguridad karma: 639
etiquetas: microsoft, windows, exploit, sql injection, 500.000, pwn3d!
negativos: 2  usuarios: 260  anónimos: 374  compartir:  twitter  facebook  friendfeed
últimas relacionadas
  1. #1   Lista de víctimas importantes: www.dynamoo.com/blog/2008/04/nihaorr1com-theres-no-such-thing-as.html
    (a ver si ruedan cabezas por estar usando IIS)

    Sysadmins windowseros corriendo en círculos y llorando: forums.iis.net/t/1148917.aspx?PageIndex=1

    Relacionada: www.encyclopediadramatica.com/Pwn3d

    Firefox: www.mozilla-europe.org/es/products/firefox/

    NoScript: noscript.net/
    Descargar en noscript.net/getit

    Ubuntu: www.ubuntu.com/
    Descargar en www.ubuntu.com/getubuntu/download
    votos: 35, karma: 271
    por DZPM (#) el 25-04-2008 19:24 UTC
  2. #2   Juas, y justo ahora que Microsoft anunciaba sus ganancias gracias al aumento de las ventas de sus servidores, como siga así el tema me veo a microsoft viviendo de la XBox
    votos: 3, karma: 35
    por Xoxe (#) el 25-04-2008 19:25 UTC
  3. #3   Zas!!! en toda la bocaza!!! XD
    votos: 2, karma: 22
    por Davintxi (#) el 25-04-2008 19:26 UTC
  4. #4   Se esta liando... Me da que la cuota de mercado del IIS va a bajar...
    votos: 1, karma: 13
    por azeri (#) el 25-04-2008 19:28 UTC
  5. #5   » ver comentario
    por --20547-- (#) el 25-04-2008 19:37 UTC
  6. #6   » ver comentario
    por --21144-- (#) el 25-04-2008 19:40 UTC
  7. #7   Meneo profético de ayer mismo: meneame.net/story/nihaorr1-iis-sql-injection-attack
    votos: 2, karma: 45
    por kikuyo (#) el 25-04-2008 19:42 UTC
  8. #8   Hm, si es por inyección de SQL, el servidor web tiene poco que ver, ¿no? :S

    Edit: We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
    votos: 17, karma: 134
    por Kartoffel (#) el 25-04-2008 19:43 UTC
  9. #9   #8 Teniendo en cuenta que ASP y ASPX corren sobre IIS yo no me apresuraría a hacer un pliego de descargo.
    votos: 7, karma: 54
    por kikuyo (#) el 25-04-2008 19:47 UTC
  10. #10   #9 Ya, pero es algo así como si yo escribo código PHP vulnerable, supongo.
    votos: 12, karma: 113
    por Kartoffel (#) el 25-04-2008 19:48 UTC
  11. #11   #10 ¿Estás sugiriendo que los programadores ASP son más "incompetentes" que los de PHP? xD
    votos: 14, karma: 136
    por kikuyo (#) el 25-04-2008 19:52 UTC
  12. #12   » ver comentario
    por --36237-- (#) el 25-04-2008 20:03 UTC
  13. #13   los ataques de inyeccion sql no tienen nada que ver con la plataforma, ni siquiera con que el lenguaje sea asp o php asi que stfu amarillistas
    votos: 2, karma: 20
    por sickboy (#) el 25-04-2008 20:04 UTC
  14. #14   Firefox 1
    Microsoft 0

    :-P OGC!!
    votos: 6, karma: 13
    por asturdany (#) el 25-04-2008 20:04 UTC
  15. #15   El titular es bastante amarillista, aunque Microsoft no me gusta nada, tampoco hay que cargarle todas las culpas.
    La noticia deja claro que no es una vulnerabilidad de IIS y además el titular es erroneo, no son "servidores web de microsoft", en todo caso de empresas que usan algunos productos de microsoft.
    votos: 3, karma: 29
    por Bapho (#) el 25-04-2008 20:05 UTC
  16. #16   #12 ¿Te has puesto las gafas? :-P
    votos: 4, karma: 60
    por padre (#) el 25-04-2008 20:06 UTC
  17. #17   yo no he sido.
    votos: 1, karma: 17
    por MindPaniC (#) el 25-04-2008 20:06 UTC
  18. #18   » ver comentario
    por --74899-- (#) el 25-04-2008 20:08 UTC
  19. #19   Leyendo la noticia queda claro que la culpa no es de Microsoft sino de los desarrolladores de aplicaciones con ASP. ¿Y por qué? En la empresa nos han llegado recien graduados y a ellos les han enseñado a programar con JSP, JSF y ASP... curiosamente ninguno sabe de PHP.

    Lo peor es que en la Universidad no les enseñan (y los estudiantes no les preocupa) programar teniendo en cuenta la seguridad, todo se reduce para ellos a la pantalla de usuario: y contraseña: , no tienen ni idea de cifrarcomunicaciones, ni de SSL, ni Kerberos, y coincidencialmente cuando les pregunté como solucionaban el problema de ¿Inyección SQL? la respuesta fue: ¿qué es eso?
    votos: 6, karma: 68
    por damocles (#) el 25-04-2008 20:10 UTC
  20. #20   » ver comentario
    por --36237-- (#) el 25-04-2008 20:10 UTC
  21. #21   Todos los sistemas tienen fallos, hoy le toca a Microsoft, mañana a Oracle y pasado a MySQL o DB2. Eso sí se acabó la ventaja competitiva de Microsoft, la diversificación de sistemas como la diversidad genética garantiza la supervivencia.
    votos: 1, karma: 13
    por llou (#) el 25-04-2008 20:11 UTC
  22. #22   » ver comentario
    por --54566-- (#) el 25-04-2008 20:14 UTC
  23. #23   #2: Pues yo sólo veo un Ministro de Innovación más gordo, con un coche más grande y con más entidades bancarias pretendiéndole.

    www.elmundo.es/navegante/2008/04/21/tecnologia/1208774509.html

    Ah! Y una España más pobre, más inculta, menos o nada libre y a las puertas de la creación de la policia del pensamiento y la instauración un neofeudalismo digital sin vuelta atrás.

    Pero eso... ¿a quién le importa, verdad?

    El hombre es el único animal que tropieza n veces con la misma piedra cuando n tiende a infinito. Por fuerza tenemos que ser masocas.
    votos: 5, karma: 55
    por joanmi (#) el 25-04-2008 20:16 UTC
  24. #24   #5: Poca credibilidad me mereceria UNICEF si se confirmara que utilizase software privativo (y además compilado por la NSA) en sus servidores tal y como tu insinuas.
    votos: 13, karma: 82
    por joanmi (#) el 25-04-2008 20:22 UTC
  25. #25   EPIC FAIL xD
    votos: 1, karma: 23
    por Mencapento (#) el 25-04-2008 20:23 UTC
  26. #26   » ver comentario
    por --51021-- (#) el 25-04-2008 20:24 UTC
  27. #27   #14 OGC?
    que quieres decir con eso? meneame.net/story/hay-mirar-logos-desde-todos-angulos-si-no-eng
    votos: 0, karma: 9
    por Franki15 (#) el 25-04-2008 20:24 UTC
  28. #28   #6: Son comparativas de errores reportados, aunque yo más bien diria "reconocidos".

    En eso les hemos ganado siempre de calle... Basta con ver todos los sistemas de reportes de bugs que existen para software libre y el clásico oscurantismo de Microsoft...

    Las estadísticas rara vez mienten, pero siempre dicen lo que le interesa a quien las encarga. Y si además se las maquilla pueden hacer fácilmente que un oyente incauto saque conclusiones disparatadas debido a la visión deformada que éstas le han dado.

    ¿Cómo explicarle qué son los colores a alguien que ve en blanco y negro? ...o la visión tridimensional a un tuerto congénito?
    votos: 2, karma: 35
    por joanmi (#) el 25-04-2008 20:37 UTC
  29. #29   www.luds.net/galeries/nelson.gif
    (Para Micro$oft, no para las pobres víctimas)
    votos: 0, karma: 6
    por oriol18 (#) el 25-04-2008 20:47 UTC
  30. #30   #19 en 5 años de carrera no puedes aprender absolutamente todo de informatica como es obvio. En la universidad te dan una base que abarca casi todo y tu luego cuando salgas tiras para donde tu quieras o puedas, y te acabas de formar en eso que te interesa.

    Y la noticia como bien dices no es culpa de los servidores web de Microsoft.
    votos: 3, karma: 29
    por BloodStar (#) el 25-04-2008 20:48 UTC
  31. #31   jejeje q le den por culo!
    votos: 1, karma: -1
    por FJDP (#) el 25-04-2008 21:04 UTC
  32. #32   ¿Cuánto se tardará en sacar un parche que lo solucione?
    Se admiten apuestas.
    votos: 2, karma: 9
    por The_unforgiven_too (#) el 25-04-2008 21:13 UTC
  33. #33   no termino de ver como se hace esta inyeccion de codigo,

    alguien me lo explica mejor
    votos: 1, karma: 14
    por tomasulo (#) el 25-04-2008 21:15 UTC
  34. #34   #32 No era el primer martes de cada mes si no mal recuerdo?
    votos: 1, karma: 0
    por shawe (#) el 25-04-2008 21:22 UTC
  35. #35   » ver comentario
    por --25860-- (#) el 25-04-2008 21:25 UTC
  36. #36   #34 pues entonces "sólo" quedan 9 días. XD
    votos: 0, karma: 6
    por The_unforgiven_too (#) el 25-04-2008 21:28 UTC
  37. #37   #15 Si la combinación de software vulnerable es Mcrosoft Windows Server + Microsoft IIS +Microsost SQL Server + Microsoft ASP[.Net] y afecta a más de 500.000 lo manipulador es decir que no habrá alguna responsabilidad por parte de Microsoft.

    PD: Eso no quita que la noticia este un poco amarillista, que el Ubuntu de #1 no haya tenido fallos de record como el de los discos duros.
    votos: 3, karma: 25
    por rodz (#) el 25-04-2008 21:32 UTC
  38. #38   #33 Básicamente, añadiendo a la URL de un sitio web un punto y coma y, a continuación del mismo, un sentencia SQL (de consulta a la base de datos).

    En un ejemplo sencillo, esta sería una URL "normal" a un sitio web solicitando que se muestre un dato concreto:

    www.sitio.com/pagina.asp?codigo=123

    (en la misma se solicita a la página.asp que recupere de la base de datos la información referente al producto 123)

    Para realizar la inyección SQL el "asaltante" agrega a la URL un punto y coma, usado para separar sentencias SQL, y tras el mismo añade/inyecta una nueva sentencia SQL:

    www.sitio.com/pagina.asp?codigo=123;drop%20tabla

    (que en este caso borra toda la tabla)

    En el presente caso, el ataque se produce con una sentencia SQL muy elaborada que afecta a los servidores MS SQL Server (que generalmente son utilizados por el IIS). Esta sentencia, y ahí en mi opinión está gran parte del fallo, accede directamente a las tablas de sistema de la base de datos, averigua los nombres de las tablas y procede a insertar en todos los campos de texto una etiqueta de <script> con su fuente (src) apuntando a un archivo malicicioso javascript que procede a explotar diversas y conocidas vulnerabilidades en los navegadores.

    Un segundo fallo estriba en que se permita acceder a los datos de sistema en el MS SQL Server. Ignoro si por defecto es la configuración de este servidor (en caso de que lo sea es un fallo muy grave) o bien es una mala costumbre de los programadores de acceder a la base de datos con privilegios elevados.

    Un tercero, culpa de los programadores, es no comprobar exhaustivamente todos los datos de las peticiones que llegan al servidor antes de operar con éllos sobre la base de datos.

    (correcciones y/o puntualizaciones sobre lo brevemente expuesto son bienvenidas :-) )
    votos: 28, karma: 258
    por kikuyo (#) el 25-04-2008 21:41 UTC
  39. #39   relacionada meneame.net/story/ataque-informatico-masivo-afecta-casi-300.000-paginab ... aunque creo que es la misma joda
    votos: 0, karma: 20
    por mezvan (#) el 25-04-2008 21:52 UTC
  40. #40   Es decir, que en linux, mysql y php (<sarcástico> #37 curiosa coincidencia ¿por qué será linux, mysql y php y no cualquier otra combinación</sarcástico>) no existen las inyecciones sql y si por un casual existieran no sería culpa de quién no hizo bien la web sino de linux, mysql y php que están mal hechos...

    Ah, espera, que si que existen...

    Por favor, si yo me salgo de una curva a 200Km la culpa es mía no del fabricante del coche. Más amarilla no podría ser y con esta ya van no se cuentas hoy como la del que murió por el redbull y no por el pequeño defecto que tenía en el corazón.
    votos: 6, karma: -28
    por kadmon (#) el 25-04-2008 22:21 UTC
  41. #41   #37 Lo de los discos de Ubuntu se pareció más a una leyenda urbana. Son modelos muy concretos y con una configuración muy agresiva alejada de la por defecto:

    www.genbeta.com/2007/10/31-ubuntu-no-esta-acortando-los-discos-duros-ds

    PD: Con esto no quiero decir que no haya habido bugs gruesos en GNU/Linux. Hace poco hubo una escalada de privilegios fácil con un exploit público. Eso sí, hubo un workaround rápido y las distros importantes lo parchearon en unas 15 horas como mucho (Debian en apenas una o dos).
    votos: 5, karma: 59
    por sebaston (#) el 25-04-2008 22:25 UTC
  42. #42   cagadas hay hasta en las mejores familias, la historia está en la rapidez para solucionarlas... y en eso los de Micro$oft pierden por goleada
    votos: 0, karma: 6
    por ralfiki (#) el 25-04-2008 23:09 UTC
  43. #43   » ver comentario
    por --71705-- (#) el 25-04-2008 23:17 UTC
  44. #44   Una inyección de SQL se solventa en el codigo de la página. Da igual la plataforma que uses. Esto es cuenta del porgramador. Almenos eso tenia entendido pero viendo que 500000 servidores han sido afctados me da que pesnar. ¿todos los programdores web son unos cazurros?.
    votos: 4, karma: 49
    por giropau (#) el 25-04-2008 23:24 UTC
  45. #45   Digo yo, que si se inyecta codigo para atacar al cliente, aunque sea mediante inyeccion SQL, el ataque es un XSS...
    votos: 0, karma: 10
    por selvatgi_old (#) el 26-04-2008 00:25 UTC
  46. #46   Yo no creo que tenga la culpa IIS, como mucho el servidor de bases de datos y el programador.
    La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase.

    Amarilla amarilla.
    Al ritmo que se menean noticias imprecisas o sesgadas como veo ultimamente, al final el dicho "meneame es un saco" se va a quedar corto. Esto cada vez parece mas el Tomate de la informática.
    votos: 2, karma: 23
    por darkknigt (#) el 26-04-2008 01:08 UTC
  47. #47   No voy a decir que es culpa del servidor, no se puede decir "explícitamente" (ya que viene la gente y se te echa al cuello), pero lo más curioso de estos casos, es cuando la gente dice "es el programador/empresa barata/lakely..." Mientras que es esa gran empresa la que siempre esta mencionando sus sistemas... ¡super simples y ultra seguros! Sus imbatibles sistemas a prueba de tontos.
    Estoy harto de que me vengan los clientes, después de haber ido a que les vendan la moto en una de las conferencias mega-tecno-chachipiruli, comentandome que el sql server de microsoft es más seguro que --insertar aquí servidor sql no-microsoft-- y que merece la pena, que no hay tantos bugs...
    votos: 0, karma: 6
    por jappiman (#) el 26-04-2008 02:02 UTC
  48. #48   #37: claro entonces cuando se estrella un ford es culpa de la compañia que frabricó el coche, no?

    #44: si, la mayoria lo son, 4 real

    #46: "La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase."
    supongo que por ese comentario tengo que deducir que tus webs son una puta hez, dame las urls y añadire un par de zombis a mi botnet
    votos: 1, karma: 12
    por sickboy (#) el 26-04-2008 04:28 UTC
  49. #49   Normalmente una inyección de sql en por ejemplo un CMS como xXx (no pongo ninguno que la gente se pica micho), no suele afectar al resto de CMS, porque en teoría están implementados en php pero cada uno a su manera, todo desarrollador tiene su ego y sus manías. A mi lo raro me suena cuando petan 500000 y es por una inyección de sql, es quizá un bug 0-day en ASP que permite llegar al sql y hacer la inyección o tenemos a cientos de miles de programadores de ASP siguiendo el mismo manual con los mismos fallos???
    votos: 0, karma: 8
    por nexus7 (#) el 26-04-2008 07:08 UTC
  50. #50   Si hackean 500.000 servidores distintos no puede ser "fallo del programador", hay algo común en todos que está mal y que es, sin lugar a dudas, responsabilidad de Microsoft.
    votos: 3, karma: 19
    por Pablosky (#) el 26-04-2008 07:46 UTC
  51. #51   amarillista total. es un estupendo fallo de programación que puede igual ocurrir en otros lenguajes, sobre todo php. El ramalazo que le sale a algunos es lo que tiene ¿si no existiera microsoft tu vida sería mas completa? mucho tiempo libre para el odio
    votos: 3, karma: 12
    por administrandosistemas (#) el 26-04-2008 08:57 UTC
  52. #52   se me olvidaba, a ver si leemos los articulos enteros.

    UPDATE: We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
    votos: 3, karma: 32
    por administrandosistemas (#) el 26-04-2008 09:05 UTC
  53. #53   #52 da igual como se lo digas, hay que criticar a microsoft a toda costa.

    Para los amantes del noscript, que para mi es un mal parche, la versión para Internet Explorer y sin plugins:

    Menú herramientas -> opciones de internet ->Pestaña seguridad -> Botón nivel personalizado -> en la lista buscas "automatización - active scripting" y ahí o lo bloqueas o marcas "preguntar".

    Eso para el IE 7, en el IE6 se llama "automatización de los subprogramas de Java".

    Una explicación más completa y con opción de agregar sitios a una lista blanca: www.vsantivirus.com/faq-sitios-confianza.htm .

    P.D: el noscript es un mal parche porque el javascript es algo que existe y es bueno si se usa bien así que o se permite de forma segura o no se permite y desaparece pero no se bloquea para ver medio páginas.
    votos: 0, karma: 8
    por kadmon (#) el 26-04-2008 09:13 UTC
  54. #54   Veo que no tenéis ni puta idea de administrar servidores windows.

    #1 menso meterte con los sysadmin de windows y arregla tu web, que no chuta y da un error vergonzoso de publicar.
    votos: 1, karma: 16
    por Osiris (#) el 26-04-2008 11:04 UTC
  55. #55   Y si no es Mac/Ubuntu, se erronea.
    votos: 0, karma: 6
    por IncaKola (#) el 26-04-2008 11:10 UTC
  56. #56   Mirar los resultados de Google sobre el script de nmidahena.com; www.google.es/search?q=nmidahena.coms
    votos: 0, karma: 6
    por mitousu (#) el 26-04-2008 12:51 UTC
  57. #57   » ver comentario
    por --71705-- (#) el 26-04-2008 13:11 UTC
  58. #58   » ver comentario
    por --71705-- (#) el 26-04-2008 13:12 UTC
  59. #59   » ver comentario
    por --71705-- (#) el 26-04-2008 13:14 UTC
  60. #60   Pero...

    ¿qué pueden hacerle al usuario?

    ¿qué vulnerabilidades hay que afecten a un usuario con la última versión de Firefox pero no a los que usan no script? ¿Dónde puedo encontrar más información de esto?
    votos: 0, karma: 6
    por alberto666 (#) el 26-04-2008 14:59 UTC
  61. #61   » ver comentario
    por --72350-- (#) el 26-04-2008 15:19 UTC
  62. #62   #59 si tienes huevos a hechar a andar dos IIS en paralelo en el mismo servidor, me lo explicas, que me interesa mucho conocer la tecnica. Seran 500000 servidores virtualizados, pero 500000 al fin y al cabo.
    votos: 1, karma: -2
    por L_L (#) el 26-04-2008 15:43 UTC
  63. #63   » ver comentario
    por --71705-- (#) el 26-04-2008 17:30 UTC
  64. #64   Aun con PHP + MySQL, se le puede Inyectar codigo malicioso con SQL y/o Javascript.

    La cuestión es del programador, debió haber previsto las posibilidades de inyectar código en su programa,
    para ello se debe aplicar tecnicas d programación d seguridad sean de ASP ASPx o PHP..

    Es amarillista esta noticia.
    votos: 0, karma: 6
    por constantino (#) el 28-04-2008 15:13 UTC
  65. #65   » ver comentario
    por --38607-- (#) el 28-04-2008 15:58 UTC
comentarios cerrados

menéame