Avis de sécurité

Conseils de sécurité Microsoft 954462

Augmentation des attaques par injection SQL exploitant les entrées de données utilisateur non vérifiées

Publication : 24 juin 2008 | Mise à jour : 25 juin 2008

Microsoft est conscient d’une escalade récente dans une classe d’attaques ciblant des sites Web qui utilisent Microsoft ASP et ASP.NET technologies, mais ne suivent pas les meilleures pratiques pour le développement d’applications web sécurisées. Ces attaques par injection SQL n’exploitent pas une vulnérabilité logicielle spécifique, mais ciblent plutôt des sites Web qui ne suivent pas les pratiques de codage sécurisées pour accéder aux données stockées dans une base de données relationnelle et les manipuler. Lorsqu’une attaque par injection SQL réussit, un attaquant peut compromettre les données stockées dans ces bases de données et éventuellement exécuter du code distant. Les clients accédant à un serveur compromis peuvent être transférés sans le savoir à des sites malveillants susceptibles d’installer des programmes malveillants sur l’ordinateur client.

Facteurs d’atténuation :

Cette vulnérabilité n’est pas exploitable dans les applications web qui suivent les meilleures pratiques généralement acceptées pour sécuriser le développement d’applications web en vérifiant l’entrée des données utilisateur.

Informations générales

Vue d’ensemble

Objectif de l’avis : pour aider les administrateurs à identifier et corriger les asp et ASP.NET code d’application web vulnérables qui ne suivent pas les meilleures pratiques pour le développement d’applications web sécurisées.

État de l’avis : Avis de sécurité Microsoft et outils associés ont été publiés.

Recommandation : passez en revue les actions suggérées et configurez-les selon les besoins. Il est également suggéré que les administrateurs de serveur évaluent l’efficacité des outils abordés et les utilisent selon les besoins.

Cet avis traite des logiciels suivants :

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Cet avis est destiné à aider les administrateurs de site Web à identifier les éventuels problèmes liés à leur code d’application web susceptibles d’être exposés aux attaques par injection SQL possibles et à fournir une solution d’arrêt pour atténuer les attaques par injection SQL contre le serveur pendant que les applications sont corrigées.

S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Non. Tout code d’application web qui a suivi les meilleures pratiques généralement acceptées pour la sécurité est sensiblement moins sensible à l’attaque par injection SQL. Bien qu’il ne s’agit pas d’une vulnérabilité de sécurité, cet avis a été émis pour fournir des avertissements et une assistance supplémentaires aux administrateurs ayant des sites vulnérables.

Quelles sont les causes de cette menace ?
L’échec de la validation correcte de l’entrée utilisateur peut permettre à un attaquant d’injecter des commandes SQL dans des champs d’entrée, qui peuvent ensuite s’exécuter sur une source de données entraînant une altération de la base de données ou l’exécution du code sur le serveur.

Qu’est-ce qu’un attaquant peut utiliser cette fonction pour faire ?
Les attaquants peuvent créer une attaque automatisée qui peut tirer parti des vulnérabilités d’injection SQL dans les pages Web qui ne suivent pas les meilleures pratiques de sécurité pour le développement d’applications web. Après avoir compromis le site, un attaquant peut effectuer de nombreuses opérations malveillantes sur le serveur, telles que la suppression d’une base de données et la redirection de clients accédant à ce serveur vers des sites malveillants susceptibles d’installer des programmes malveillants sur l’ordinateur client.

Actions suggérées

Microsoft a identifié plusieurs outils pour aider les administrateurs. Ces outils couvrent la détection, la défense et l’identification du codage possible qui peut être exploité par un attaquant.

• Détection - HP Scrawlr
  Hewlett Packard a développé un scanneur gratuit qui peut identifier si les sites sont sensibles à l’injection SQL. Cet outil et la prise en charge de son utilisation sont disponibles dans La recherche d’injection SQL avec Scrawlr au centre de sécurité HP.

  Description détaillée :
  L’outil sera un outil d’analyse de boîte noire (c’est-à-dire aucun code source requis). L’utilisateur entre une URL de départ et l’outil :

  • Analysez de manière récursive cette URL pour les liens hypertexte afin de créer une arborescence de site.
  • Testez tous les liens découverts pour l’injection SQL détaillée en envoyant des requêtes HTTP contenant des chaînes d’attaque d’injection SQL dans des paramètres de chaîne de requête.
  • Examinez les réponses HTTP du serveur pour les messages d’erreur SQL qui indiqueraient une vulnérabilité d’injection SQL.
  • Signaler les pages trouvées vulnérables à l’utilisateur, ainsi que les champs d’entrée associés. Par exemple, l’outil peut signaler que les champs « nom d’utilisateur » et « mot de passe » sur la page « foo.asp » sont vulnérables.

• Défense - UrlScan version 3.0 Bêta

  UrlScan version 3.0 Beta est un outil de sécurité Microsoft qui restreint les types de requêtes HTTP que les services Internet Information Services (IIS) traiteront. En bloquant des requêtes HTTP spécifiques, UrlScan permet d’empêcher les requêtes potentiellement dangereuses d’atteindre l’application web sur le serveur. UrlScan 3.0 s’installe sur IIS 5.1 et versions ultérieures, y compris IIS 7.0. UrlScan 3.0 est disponible dans URLScan Tool 3.0 Beta.

  Description détaillée :
  UrlScan version 3.0 est un outil qui vous permettra d’implémenter de nombreuses règles différentes pour mieux protéger les applications web sur les serveurs contre les attaques par injection SQL. Voici quelques fonctionnalités :

  • Possibilité d’implémenter des règles de refus appliquées indépendamment à une URL, une chaîne de requête, tous les en-têtes, un en-tête particulier ou toute combinaison de celles-ci.
  • Section DenyQueryString globale qui vous permet d’ajouter des règles de refus pour les chaînes de requête, avec l’option de case activée la version non échappée de la chaîne de requête également.
  • Possibilité d’utiliser des séquences d’échappement dans les règles de refus pour refuser CRLF et d’autres séquences de caractères non imprimables dans la configuration.
  • Plusieurs instances UrlScan peuvent être installées en tant que filtres de site, chacun avec ses propres options de configuration et de journalisation (urlscan.ini).
  • Les notifications de modification de configuration (urlscan.ini) sont propagées aux processus de travail sans avoir à les recycler. Les paramètres de journal sont une exception à ceci.
  • Journalisation améliorée pour fournir des erreurs de configuration descriptives.

• Identification - Analyseur de code source Microsoft pour l’injection SQL

  Un outil d’analyse du code source SQL a été développé. Cet outil peut être utilisé pour détecter le code ASP susceptible d’attaquer des attaques par injection SQL. Cet outil est disponible dans l’article de la Base de connaissances Microsoft 954476.

  Description détaillée :
  Microsoft Source Code Analyzer for SQL Injection est un outil autonome que les clients peuvent exécuter sur leur propre code source ASP. En plus de l’outil lui-même, il existe une documentation sur les moyens de résoudre les problèmes qu’il trouve dans le code qu’il analyse. Voici quelques-unes des principales fonctionnalités de cet outil :

  • Analyse le code source ASP pour le code qui peut entraîner des vulnérabilités d’injection SQL.
  • Génère une sortie qui affiche le problème de codage.
  • Cet outil identifie uniquement les vulnérabilités dans le code ASP classique. Il ne fonctionne pas sur ASP.NET code.

• Informations supplémentaires

  Microsoft dispose de ressources supplémentaires pour aider les administrateurs à identifier et corriger les problèmes liés à cette attaque.

  • Liens vers d’autres documentations sur les bonnes pratiques d’injection et de codage SQL :

    Protection contre l’injection sql Server

    Prévention des injections SQL dans ASP

    Guide pratique pour protéger contre l’injection SQL dans ASP.NET

    Techniques de codage pour la protection contre l’injection SQL dans ASP.NET

    Filtrage de l’injection SQL à partir d’ASP classique

    Blog recherche sur les vulnérabilités de sécurité et défense sur l’attaque par injection SQL

Autres informations

Les clients du États-Unis et du Canada qui croient qu’ils ont pu être affectés par cette vulnérabilité possible peuvent recevoir un support technique des services de support technique Microsoft à 1-866-PCSAFETY. Il n’existe aucun frais pour la prise en charge associée aux problèmes de mise à jour de sécurité ou aux virus. Les clients internationaux peuvent recevoir du support à l’aide de l’une des méthodes répertoriées dans l’aide et le support Microsoft. Tous les clients doivent appliquer les dernières mises à jour de sécurité publiées par Microsoft pour vous assurer que leurs systèmes sont protégés contre les tentatives d’exploitation. Les clients qui ont activé l’Mises à jour automatique recevront automatiquement toutes les mises à jour Windows. Pour plus d’informations sur les mises à jour de sécurité, consultez Microsoft Security Central.

Ressources :

• Vous pouvez fournir des commentaires en remplissant le formulaire en consultant l’aide et le support Microsoft : Contactez-nous.
• Les clients du États-Unis et du Canada peuvent recevoir un support technique des services de support technique Microsoft. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
• Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
• Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

• 24 juin 2008 : Avis publié.
• 25 juin 2008 : Suppression de références erronées aux tests de valeur de champ de formulaire et de cookie de la description de l’outil HP Scrawlr.

Construit à 2014-04-18T13 :49 :36Z-07 :00