Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 954462

Zunahme von Angriffen durch Einschleusung von SQL-Befehlen durch Ausnutzung ungeprüfter Benutzerdateneingaben

Veröffentlicht: Dienstag, 24. Juni 2008 | Aktualisiert: Mittwoch, 25. Juni 2008

Microsoft wurde eine erneute Ausweitung einer Klasse von Angriffen gemeldet, die auf Websites abzielen, auf denen die Microsoft-Technologien ASP und ASP.NET verwendet werden, die aber nicht den empfohlenen Vorgehensweisen für die sichere Entwicklung von Webanwendungen folgen. Bei diesen Angriffen durch Einschleusung von SQL-Befehlen wird keine bestimmte Sicherheitsanfälligkeit von Software ausgenutzt. Stattdessen sind jene Websites das Ziel, die die Vorgehensweisen zur sicheren Codierung für den Zugriff auf und das Ändern von Daten, die in einer relationalen Datenbank gespeichert werden, nicht befolgen. Wenn ein Angriff durch Einschleusung von SQL-Befehlen erfolgreich ist, kann ein Angreifer Daten kompromittieren, die in diesen Datenbanken gespeichert werden, und kann u. U. Remotecode ausführen. Clients, die zu einem beeinträchtigten Server browsen, können unwissentlich zu schädlichen Sites weitergeleitet werden, die u. U. schädliche Software auf dem Clientcomputer installieren.

Schadensbegrenzende Faktoren:

Diese Sicherheitsanfälligkeit kann nicht in Webanwendungen ausgenutzt werden, in denen die allgemein anerkannten empfohlenen Vorgehensweisen für die sichere Entwicklung von Webanwendungen durch die Überprüfung von Benutzerdateneingaben befolgt wurden.

Allgemeine Informationen

Zweck dieser Sicherheitsempfehlung: Unterstützung von Administratoren bei der Identifizierung und Korrektur anfälligen ASP- und ASP.NET-Webanwendungscodes, bei dem nicht die empfohlenen Vorgehensweisen für die sichere Entwicklung von Webanwendungen befolgt wurden.

Status der Empfehlung: Microsoft-Sicherheitsempfehlung und zugehörige Tools wurden veröffentlicht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch. Außerdem wird vorgeschlagen, dass Serveradministratoren die Wirksamkeit der diskutierten Tools evaluieren und diese nach Bedarf verwenden.

Diese Empfehlung betrifft die folgende Software:

Betroffene Software
ASP- und ASP.NET-Technologien von Microsoft

Was genau umfasst diese Empfehlung?
Diese Empfehlung soll Websiteadministratoren bei der Identifizierung möglicher Probleme mit ihrem Webanwendungscode unterstützen, der für mögliche Angriffe durch Einschleusung von SQL-Befehlen empfänglich ist. Außerdem wird eine Notlösung bereitgestellt, mit der Angriffe auf den Server durch Einschleusung von SQL-Befehlen verringert werden sollen, während die Anwendungen repariert werden.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Jeglicher Webanwendungscode, bei dem die allgemein anerkannten empfohlenen Vorgehensweisen für Sicherheit befolgt wurden, ist bedeutend weniger anfällig für Angriffe durch Einschleusung von SQL-Befehlen. Obwohl dies keine Sicherheitsanfälligkeit ist, wurde diese Empfehlung als zusätzliche Warnung und Unterstützung für Administratoren mit anfälligen Sites veröffentlicht.

Wodurch wird diese Bedrohung verursacht?
Das Unterlassen der richtigen Überprüfung von Benutzereingaben kann einem Angreifer ermöglichen, SQL-Befehle in Eingabefelder einzuschleusen, die dann u. U. gegen eine Datenquelle ausgeführt werden, was zur Beschädigung der Datenbank oder Codeausführung auf dem Server führt.

Was kann ein Angreifer über diese Funktion erreichen?
Angreifer können einen automatisierten Angriff gestalten, bei dem die Sicherheitsanfälligkeiten durch die Einschleusung von SQL-Befehlen in Webseiten genutzt werden, bei denen die empfohlenen Vorgehensweisen für die Entwicklung von Webanwendungen nicht befolgt wurden. Nachdem die Site kompromittiert wurde, kann ein Angreifer zahlreiche schädliche Vorgänge auf dem Server durchführen, z.  B. das Löschen einer Datenbank und Umleiten von Clients, die zu diesem Server browsen, auf schädliche Sites, die u. U. schädliche Software auf dem Clientcomputer installieren.

Microsoft hat mehrere Tools identifiziert, die Administratoren unterstützen. Durch diese Tools sind die Erkennung, Verteidigung und Identifizierung möglicher Codierung abgedeckt, die von einem Angreifer ausgenutzt werden kann.

  • Erkennung – HP Scrawlr

    Hewlett Packard hat einen kostenlosen Scanner entwickelt, mit dem identifiziert werden kann, ob Sites für die Einschleusung von SQL-Befehlen anfällig sind. Dieses Tool und Unterstützung für dessen Verwendung finden Sie in Finding SQL Injection with Scrawlr im HP Security Center.

    Ausführliche Beschreibung:
    Das Tool ist ein Blackbox-Analysetool (d. h., es ist kein Quellcode erforderlich). Der Benutzer gibt eine Start-URL ein, und das Tool führt Folgendes durch:

    • Jene URL wird rekursiv nach Hyperlinks gecrawlt, um eine Strukturansicht der Site zu erstellen.
    • Alle entdeckten Links werden auf ausführliche Einschleusung von SQL-Befehlen getestet, indem HTTP-Anforderungen mit Zeichenfolgen mit eingeschleusten SQL-Befehlen für einen Angriff in Abfragezeichenfolgenparametern gesendet werden.
    • Untersuchen der HTTP-Antworten vom Server für SQL-Fehlermeldungen, die eine Sicherheitsanfälligkeit bezüglich der Einschleusung von SQL-Befehlen anzeigen würden.
    • Melden aller Seiten, die als für den Benutzer anfällig erkannt wurden, zusammen mit den zugeordneten Eingabefeldern. Zum Beispiel wird von dem Tool gemeldet, dass die Felder „Benutzername“ und „Kennwort“ auf der Seite „foo.asp“ anfällig sind.
  • Verteidigung – UrlScan Version 3.0 Beta

    UrlScan Version 3.0 Beta ist ein Microsoft Security Tool, mit dem die Arten von HTTP-Anforderungen eingeschränkt werden, die von Internet Information Services (IIS) verarbeitet werden. Indem bestimmte HTTP-Anforderungen blockiert werden, trägt UrlScan dazu bei, potenziell schädliche Anforderungen daran zu hindern, die Webanwendung auf dem Server zu erreichen. UrlScan 3.0 wird unter IIS 5.1 und höher installiert, einschließlich IIS 7.0. UrlScan 3.0 finden Sie unter URLScan Tool 3.0 Beta.

    Ausführliche Beschreibung:
    UrlScan Version 3.0 ist ein Tool, mit dem Sie viele verschiedene Regeln implementieren können, um Webanwendungen auf Servern besser vor Angriffen durch Einschleusung von SQL-Befehlen zu schützen. Folgende Funktionen zählen dazu:

    • Die Möglichkeit, Ablehnungsregeln zu implementieren, die unabhängig auf eine URL, Abfragezeichenfolge, alle Header, einen bestimmter Header oder eine beliebige Kombination davon angewendet werden können.
    • Ein globaler DenyQueryString-Abschnitt, dem Sie Ablehnungsregeln für Abfragezeichenfolgen hinzufügen können, mit der Option, die Version ohne Escape-Zeichen der Abfragezeichenfolge ebenso zu überprüfen.
    • Die Möglichkeit, Escape-Sequenzen in den Ablehnungsregeln zu verwenden, um CRLF und andere nicht druckbare Zeichenfolgen in der Konfiguration zu verweigern.
    • Es können mehrere UrlScan-Instanzen als Sitefilter installiert werden, jede mit ihren eigenen Konfigurations- und Protokollierungsoptionen (urlscan.ini).
    • Benachrichtigungen über Konfigurationsänderung (urlscan.ini) werden von Arbeitsprozessen übernommen, ohne sie wiederverwerten zu müssen. Protokolleinstellungen bilden eine Ausnahme dazu.
    • Verbesserte Protokollierung, um beschreibende Konfigurationsfehler auszugeben.
  • Identifizierung – Microsoft Source Code Analyzer for SQL Injection

    Es wurde ein SQL Source Code Analysis Tool entwickelt. Mit diesem Tool kann ASP-Code erkannt werden, der für Angriffe durch Einschleusung von SQL-Befehlen anfällig ist. Dieses Tool finden Sie im Microsoft Knowledge Base-Artikel 954476.

    Ausführliche Beschreibung:

    Der Microsoft Source Code Analyzer for SQL Injection ist ein eigenständiges Tool, das Benutzer auf ihrem eigenen ASP-Quellcode ausführen können. Zusätzlich zu dem Tool gibt es Dokumentation bezüglich der Möglichkeiten zur Behebung von Problemen, die in dem analysierten Code gefunden werden. Einige wichtige Funktionen dieses Tools sind:

    • ASP-Quellcode wird nach Code durchsucht, der zu Sicherheitsanfälligkeiten bezüglich Einschleusung von SQL-Befehlen führen kann.
    • Generieren einer Ausgabe, in der das Codierungsproblem angezeigt wird.
    • Mit diesem Tool werden nur Sicherheitsanfälligkeiten in klassischem ASP-Code identifiziert. Bei ASP.NET-Code funktioniert das Tool nicht.
  • Weitere Informationen

    Microsoft verfügt über zusätzliche Ressourcen, die Administratoren bei der Identifizierung und der Korrektur von Problemen bezüglich dieser Sicherheitsanfälligkeit helfen.

Weitere Informationen:

Kunden in den USA und Kanada, die denken, Sie könnten von dieser potenziellen Sicherheitsanfälligkeit betroffen sein, erhalten bei Microsoft Product Support Services unter 1-866-PCSAFETY technischen Support. Supportanfragen zu Sicherheitsupdates und Viren sind kostenlos. Internationale Kunden können Support erhalten, indem Sie eine der unter Microsoft-Website Hilfe und Support aufgeführten Methoden verwenden.

Alle Kunden sollten die von Microsoft veröffentlichten aktuellen Sicherheitsupdates installieren, um sicherzustellen, dass ihre Systeme vor Sicherheitsanfälligkeiten geschützt sind. Kunden, die die automatischen Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates finden Sie im Microsoft-Sicherheitsportal.

Ressourcen:

  • Sie können uns Ihr Feedback über das Formular auf der Microsoft-Website Hilfe und Support: Kontakt zukommen lassen.
  • Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

  • 24. Juni 2008: Die Empfehlung wurde veröffentlicht.
  • 25. Juni 2008: Fälschliche Verweise auf das Testen von Formularfeldern und Cookiewerten wurden aus der Beschreibung des HP Scrawlr-Tools entfernt.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft