
La sede de Microsoft en Inglaterra sufrió un deface en Junio del 2007 que dejó la web con este aspecto. El ataque lo firmó un tal 'rEmOtEr' que, a tenor del deface, debe ser de Arabia Saudi.
La vulnerabilidad, lejos de ser un oscuro 0Day, era un simple SQL Injection en un formulario escrito en ASP.
En concreto, el programa que adolecía de la vulnerabilidad se encontraba localizado en
http://www.microsoft.co.uk/events/net/PreRegister.aspx y el parámetro que lo hacia vulnerable era eventID.
En su momento, la gente de windowsecurity realizó una muy buena investigación y, entre otras cosas, detectó que el formulario, cuando se le introducían las típicas secuencias con ', devolvía un bonito y completo reporte de error:
http://www.microsoft.co.uk/events/net/PreRegister.aspx?eventID=p83968&v2=1’

Mención aparte el hecho de que la propia Microsoft dispone de su propio Firewall de aplicación destinado a IIS que, probablemente, habría parado el ataque.
Conclusiones:
- Nunca 'regales' información extra haciendo que los errores de tus aplicaciones se vean
- Nunca pongas a disposición pública aplicaciones que interaccionen con bases de datos sin haber introducido un IPS entre la aplicación y el mundo exterior
- Finalmente, si el equipo de seguridad de tu compañia se ha molestado en liberar software, ¡¡ ÚSALO !!
0 comments :
Publicar un comentario