Los ricos también lloran, axioma que también se cumple en la informática. Pese a que normalmente la gente asocia las grandes corporaciones con un áurea de inviolabilidad, en realidad nadie, por muy grande que sea, está libre de cometer errores.La sede de Microsoft en Inglaterra sufrió un deface en Junio del 2007 que dejó la web con este aspecto. El ataque lo firmó un tal 'rEmOtEr' que, a tenor del deface, debe ser de Arabia Saudi.
La vulnerabilidad, lejos de ser un oscuro 0Day, era un simple SQL Injection en un formulario escrito en ASP.
En concreto, el programa que adolecía de la vulnerabilidad se encontraba localizado en
http://www.microsoft.co.uk/events/net/PreRegister.aspx y el parámetro que lo hacia vulnerable era eventID.
En su momento, la gente de windowsecurity realizó una muy buena investigación y, entre otras cosas, detectó que el formulario, cuando se le introducían las típicas secuencias con ', devolvía un bonito y completo reporte de error:
http://www.microsoft.co.uk/events/net/PreRegister.aspx?eventID=p83968&v2=1’
Lo increíble de esta historia es que los hechos acontecieran en pleno 2007 cuando tecnologías como IPS, IDSs y Firewalls de aplicación eran conceptos muy trillados y que se habían desplegado masivamente en muchos sitios.Mención aparte el hecho de que la propia Microsoft dispone de su propio Firewall de aplicación destinado a IIS que, probablemente, habría parado el ataque.
Conclusiones:
- Nunca 'regales' información extra haciendo que los errores de tus aplicaciones se vean
- Nunca pongas a disposición pública aplicaciones que interaccionen con bases de datos sin haber introducido un IPS entre la aplicación y el mundo exterior
- Finalmente, si el equipo de seguridad de tu compañia se ha molestado en liberar software, ¡¡ ÚSALO !!
0 comments :
Publicar un comentario