Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 954462

Aumento del numero di attacchi di tipo SQL injection che sfruttano l'input di dati dell'utente non convalidato

Data di pubblicazione: martedì 24 giugno 2008

Microsoft è a conoscenza di una recente escalation nella categoria di attacchi diretti ai siti Web che utilizzano le tecnologie Microsoft ASP e ASP.NET, ma non si attengono alle procedure consigliate per lo sviluppo di applicazioni Web protette. Questi attacchi di tipo SQL injection non sfruttano una vulnerabilità software specifica, bensì dei siti Web di destinazione che non si attengono alle procedure di codifica protette per accedere ai dati memorizzati e utilizzarli in un database relazionale. Quando si verifica un attacco di tipo SQL injection, un utente malintenzionato può compromettere i dati memorizzati in questi database e possibilmente eseguire il codice in modalità remota. I client che accedono a un server compromesso potrebbero essere inoltrati, senza saperlo, a siti dannosi che possono installare malware nel computer client.

Fattori attenuanti:

Non è possibile sfruttare questa vulnerabilità nelle applicazioni Web che si attengono alle procedure consigliate generalmente approvate per lo sviluppo di applicazioni Web protette verificando l'input di dati dell'utente.

Informazioni generali

Scopo dell'advisory: Assistere gli amministratori nell'identificazione e correzione del codice delle applicazioni Web ASP e ASP.NET vulnerabile che non si attiene alle procedure consigliate per lo sviluppo delle applicazioni Web protette.

Stato dell'advisory: L'Advisory Microsoft sulla sicurezza e i relativi strumenti sono stati pubblicati.

Raccomandazione: consultare le azioni consigliate ed eseguire le configurazioni necessarie. Inoltre, si raccomanda agli amministratori del server di valutare l'efficacia degli strumenti trattati e di utilizzarli secondo necessità.

In questo advisory vengono presi in esame i seguenti prodotti software.

Software correlato
Tecnologie Microsoft ASP e ASP.NET

Qual è lo scopo di questo advisory?
Questo advisory ha lo scopo di aiutare gli amministratori del sito Web a identificare i possibili problemi relativi al codice dell'applicazione Web che è interessato da possibili attacchi di tipo SQL injection e fornire una soluzione di ripiego per attenuare gli tali attacchi rivolti al server mentre le applicazioni vengono corrette.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
No. Qualsiasi codice dell'applicazione Web che abbia seguito le procedure consigliate per la sicurezza generalmente accettate è molto meno suscettibile all'attacco di tipo SQL injection. Sebbene non si tratti di una vulnerabilità a livello di sicurezza, questo advisory è stato pubblicato per fornire un'ulteriore funzionalità di avviso e assistenza per gli amministratori con siti vulnerabili.

A cosa è dovuta questa minaccia?
L'incapacità di convalidare correttamente l'input dell'utente può consentire a un utente malintenzionato di inserire comandi SQL nei campi di input che, in seguito, potrebbero essere eseguiti contro un'origine dati causando una corruzione del database o l'esecuzione di codice sul server.

A quali attacchi viene esposto il sistema a causa di questa funzionalità?
Gli utenti malintenzionati possono predisporre un attacco automatico che sfrutta le vulnerabilità SQL injection nelle pagine Web che non si attengono alle procedure consigliate per la sicurezza per lo sviluppo delle applicazioni Web. Dopo aver compromesso il sito, un utente malintenzionato può eseguire numerose operazioni dannose sul server, ad esempio può eliminare un database e reindirizzare i client che accedono a tale server verso siti dannosi che possono installare malware sul computer client.

Microsoft ha identificato diversi strumenti per assistere gli amministratori. Questi strumenti riguardano il rilevamento l'identificazione e la difesa da una possibile codifica che può essere sfruttata da un utente malintenzionato.

  • Rivelamento – HP Scrawlr

    Hewlett Packard ha sviluppato uno strumento di scansione gratuito che può identificare i siti suscettibili all'attacco di tipo SQL injection. È possibile trovare tale strumento e il supporto per utilizzarlo nell'articolo Finding SQL Injection with Scrawlr in HP Security Center.

    Descrizione dettagliata:
    Si tratta di uno strumento di analisi di tipo black-box (ad esempio, non è richiesto alcun codice sorgente). L'utente immette un URL iniziale e lo strumento eseguirà quanto indicato di seguito:

    • Esplorazione ricorsiva di tale URL per cercare i collegamenti al fine di creare una struttura del sito.
    • Verifica di tutti i collegamenti scoperti per SQL injection dettagliata tramite l'invio delle richieste HTTP contenenti stringhe di attacco di tipo SQL injection nei campi modulo, nei parametri QueryString e nei valori dei cookie.
    • Esame delle risposte HTTP dal server per individuare messaggi di errore SQL che potrebbero indicare una vulnerabilità SQL injection.
    • Esecuzione di un report che indica all'utente tutte le pagine vulnerabili individuate e il relativo/i campo/i di input. Ad esempio, lo strumento potrebbe riferire che i campi "nome utente" e "password" sulla pagina "foo.asp" sono vulnerabili.
  • Difesa – UrlScan versione 3.0 Beta

    UrlScan versione 3.0 Beta è uno strumento di protezione Microsoft che limita i tipi di richieste HTTP elaborate da Internet Information Services (IIS). Bloccando le richieste HTTP specifiche, UrlScan consente di evitare che richieste potenzialmente dannose raggiungano l'applicazione Web sul server. È possibile installare UrlScan 3.0 su IIS 5.1 e versioni successive, compreso IIS 7.0. È possibile trovare UrlScan 3.0 in URLScan Tool 3.0 Beta.

    Descrizione dettagliata:
    UrlScan versione 3.0 è uno strumento che consente di implementare molte regole diverse per proteggere in modo migliore le applicazioni Web sui server dagli attacchi di tipo SQL injection. Tali funzionalità includono:

    • La capacità di implementare regole di rifiuto applicate indipendentemente a un URL, a una stringa della query, a tutte le intestazioni, a un'intestazione specifica o a qualsiasi combinazione di questi elementi.
    • Una sezione DenyQueryString globale che consente di aggiungere regole di rifiuto per le stringhe di query, con la possibilità di controllare anche la versione un-escaped della stringa di query.
    • La capacità di utilizzare le sequenze escape nelle regole di rifiuto per negare CRLF e altre sequenze di carattere non-stampabile nella configurazione.
    • Le istanze UrlScan multiple possono essere installate come filtri del sito, ciascuna con la propria configurazione e opzioni di registrazione (urlscan.ini).
    • Le notifiche di modifica della configurazione (urlscan.ini) sono propagate ai processi di lavoro senza doverle riciclare. Le impostazioni del registro costituiscono un'eccezione.
    • La registrazione avanzata per fornire errori di configurazione descrittivi.
  • Identificazione – Analizzatore del codice sorgente di Microsoft per SQL Injection

    È stato sviluppato uno strumento di analisi del codice sorgente SQL. Questo strumento può essere utilizzato per rilevare il codice ASP interessato dagli attacchi di tipo SQL injection. È possibile trovare questo strumento nell'articolo della Microsoft Knowledge Base 954476.

    Descrizione dettagliata:

    Analizzatore del codice sorgente di Microsoft per SQL injection è uno strumento di rilevamento autonomo che i clienti possono eseguire sul proprio codice sorgente ASP. Oltre allo strumento, è inclusa anche la documentazione relativa ai metodi per risolvere i problemi incontrati nel codice analizzato. Alcune delle funzionalità principali di questo strumento sono:

    • Esecuzione della scansione del codice sorgente ASP al fine di individuare il codice che può condurre alle vulnerabilità di SQL injection.
    • Creazione di un output che visualizza il problema relativo alla codifica.
    • Questo strumento identifica solo le vulnerabilità nel codice ASP classico. Non funziona nel caso di codice ASP.NET.
  • Ulteriori informazioni

    Microsoft dispone di ulteriori risorse per assistere gli amministratori nell'identificazione e nella correzione dei problemi relativi a questo sfruttamento.

Altre informazioni

Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft. Le chiamate al supporto tecnico per problemi relativi agli aggiornamenti per la protezione o a virus sono gratuite. I clienti internazionali possono ottenere assistenza tecnica utilizzando uno dei metodi elencati nel Supporto tecnico Microsoft.

Per garantire la sicurezza dei sistemi contro i tentativi di sfruttamento delle vulnerabilità, tutti i clienti devono applicare gli aggiornamenti per la protezione più recenti rilasciati da Microsoft. I clienti che hanno abilitato gli aggiornamenti automatici riceveranno automaticamente tutti gli aggiornamenti Windows. Per ulteriori informazioni sugli aggiornamenti per la protezione, visitare il sito Web Microsoft Security Central.

Risorse:

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • 24 giugno 2008: Pubblicazione dell'advisory

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2015 Microsoft