Avviso di sicurezza

Microsoft Security Advisory 954462

Aumento degli attacchi SQL Injection sfruttando l'input dei dati utente non verificati

Pubblicato: 24 giugno 2008 | Aggiornato: 25 giugno 2008

Microsoft è a conoscenza di una recente escalation in una classe di attacchi destinati a siti Web che usano tecnologie Microsoft ASP e ASP.NET, ma non seguono le procedure consigliate per lo sviluppo di applicazioni Web sicure. Questi attacchi SQL injection non sfruttano una vulnerabilità software specifica, ma sono destinati a siti Web che non seguono procedure di codifica sicure per accedere e modificare i dati archiviati in un database relazionale. Quando un attacco SQL injection riesce, un utente malintenzionato può compromettere i dati archiviati in questi database ed eventualmente eseguire codice remoto. I client che accedono a un server compromesso potrebbero essere inoltrati inconsapevolmente a siti dannosi che possono installare malware nel computer client.

Fattori di mitigazione:

Questa vulnerabilità non è sfruttabile nelle applicazioni Web che seguono le procedure consigliate generalmente accettate per lo sviluppo sicuro di applicazioni Web verificando l'input dei dati utente.

Informazioni generali

Panoramica

Scopo dell'avviso: per aiutare gli amministratori a identificare e correggere ASP e ASP.NET codice dell'applicazione Web vulnerabile che non segue le procedure consigliate per lo sviluppo sicuro di applicazioni Web.

Stato avviso: sono stati rilasciati gli strumenti associati e gli avvisi di sicurezza Microsoft.

Raccomandazione: esaminare le azioni suggerite e configurare in base alle esigenze. Si consiglia inoltre agli amministratori del server di valutare l'efficacia degli strumenti discussi e di usarli in base alle esigenze.

Questo avviso illustra il software seguente:

Domande frequenti

Qual è l'ambito dell'avviso?
Questo avviso è quello di aiutare gli amministratori del sito Web a identificare i possibili problemi con il codice dell'applicazione Web soggetti a possibili attacchi SQL injection e a fornire una soluzione stopgap per attenuare gli attacchi SQL injection contro il server mentre le applicazioni vengono risolte.

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. Qualsiasi codice dell'applicazione Web che ha seguito le procedure consigliate generalmente accettate per la sicurezza è significativamente meno soggetto all'attacco SQL injection. Anche se non si tratta di una vulnerabilità di sicurezza, questo avviso è stato rilasciato per fornire avvisi aggiuntivi e assistenza per gli amministratori con siti vulnerabili.

Che cosa causa questa minaccia?
L'errore di convalidare correttamente l'input dell'utente può consentire a un utente malintenzionato di inserire comandi SQL nei campi di input, che possono quindi essere eseguiti su un'origine dati che causa il danneggiamento del database o l'esecuzione del codice nel server.

Cosa può fare un utente malintenzionato che usa questa funzione?
Gli utenti malintenzionati possono creare un attacco automatizzato che può sfruttare le vulnerabilità sql injection nelle pagine Web che non seguono le procedure consigliate per la sicurezza per lo sviluppo di applicazioni Web. Dopo aver compromesso il sito, un utente malintenzionato può eseguire numerose operazioni dannose sul server, ad esempio l'eliminazione di un database e il reindirizzamento dei client che accedono a questo server a siti dannosi che possono installare malware nel computer client.

Azioni suggerite

Microsoft ha identificato diversi strumenti per assistere gli amministratori. Questi strumenti riguardano il rilevamento, la difesa e l'identificazione della possibile codifica che può essere sfruttata da un utente malintenzionato.

• Rilevamento - HP Scrawlr
  He archeologica ha sviluppato uno scanner gratuito che può identificare se i siti sono soggetti all'iniezione SQL. Questo strumento e il supporto per il relativo uso sono disponibili in Ricerca di sql injection con Scrawlr nel Centro sicurezza HP.

  Descrizione dettagliata:
  Lo strumento sarà uno strumento di analisi black box (ad esempio, non è necessario alcun codice sorgente). L'utente immetterà un URL iniziale e lo strumento:

  • Eseguire una ricerca per indicizzazione ricorsiva dell'URL per i collegamenti ipertestuali per creare un albero del sito.
  • Testare tutti i collegamenti individuati per l'inserimento dettagliato di SQL inviando richieste HTTP contenenti stringhe di attacco SQL injection nei parametri di querystring.
  • Esaminare le risposte HTTP dal server per i messaggi di errore SQL che indicano una vulnerabilità sql injection.
  • Segnalare eventuali pagine vulnerabili all'utente, insieme ai campi di input associati. Ad esempio, lo strumento potrebbe segnalare che i campi "nome utente" e "password" nella pagina "foo.asp" sono vulnerabili.

• Defense - UrlScan versione 3.0 Beta

  UrlScan versione 3.0 Beta è uno strumento di sicurezza Microsoft che limita i tipi di richieste HTTP elaborate da Internet Information Services (IIS). Bloccando richieste HTTP specifiche, UrlScan impedisce alle richieste potenzialmente dannose di raggiungere l'applicazione Web nel server. UrlScan 3.0 verrà installato in IIS 5.1 e versioni successive, incluso IIS 7.0. UrlScan 3.0 è disponibile in URLScan Tool 3.0 Beta.

  Descrizione dettagliata:
  UrlScan versione 3.0 è uno strumento che consente di implementare molte regole diverse per proteggere meglio le applicazioni Web nei server da attacchi SQL injection. Queste funzionalità sono:

  • Possibilità di implementare regole di negazione applicate in modo indipendente a un URL, a una stringa di query, a tutte le intestazioni, a una particolare intestazione o a qualsiasi combinazione di queste.
  • Sezione globale DenyQueryString che consente di aggiungere regole di negazione per le stringhe di query, con l'opzione di controllare anche la versione senza escape della stringa di query.
  • Possibilità di usare sequenze di escape nelle regole di negazione per negare CRLF e altre sequenze di caratteri non stampabili nella configurazione.
  • È possibile installare più istanze di UrlScan come filtri del sito, ognuna con le proprie opzioni di configurazione e registrazione (urlscan.ini).
  • Le notifiche di modifica della configurazione (urlscan.ini) verranno propagate ai processi di lavoro senza doverli riciclare. Le impostazioni del log sono un'eccezione.
  • Registrazione migliorata per fornire errori di configurazione descrittivi.

• Identificazione - Microsoft Source Code Analyzer per SQL Injection

  È stato sviluppato uno strumento di analisi del codice sorgente SQL. Questo strumento può essere usato per rilevare il codice ASP soggetto ad attacchi SQL injection. Questo strumento è disponibile nell'articolo della Microsoft Knowledge Base 954476.

  Descrizione dettagliata:
  Microsoft Source Code Analyzer per SQL Injection è uno strumento autonomo che i clienti possono eseguire nel proprio codice sorgente ASP. Oltre allo strumento stesso, è inclusa la documentazione sui modi per risolvere i problemi rilevati nel codice analizzato. Alcune funzionalità principali di questo strumento sono:

  • Analizza il codice sorgente ASP per individuare il codice che può causare vulnerabilità sql injection.
  • Genera un output che visualizza il problema di codifica.
  • Questo strumento identifica solo le vulnerabilità nel codice ASP classico. Non funziona sul codice ASP.NET.

• Informazioni aggiuntive

  Microsoft dispone di risorse aggiuntive per aiutare gli amministratori a identificare e correggere i problemi relativi a questo exploit.

  • Collegamenti ad altre documentazione sulle procedure consigliate per l'inserimento e la codifica di SQL:

    Protezione sql server injection

    Prevenzione degli attacchi SQL injection in ASP

    Procedura: Proteggere da SQL Injection in ASP.NET

    Tecniche di codifica per la protezione da SQL Injection in ASP.NET

    Applicazione di filtri sql injection da ASP classico

    Security Vulnerability Research &Defense Blog on SQL Injection Attack (Ricerca sulla vulnerabilità della sicurezza e blog sulla difesa sugli attacchi SQL Injection)

Altre informazioni

I clienti del Stati Uniti e del Canada che ritengono che potrebbero essere stati interessati da questa possibile vulnerabilità possono ricevere supporto tecnico dai Servizi supporto tecnico Microsoft presso 1-866-PCSAFETY. Non è previsto alcun addebito per il supporto associato a problemi di aggiornamento della sicurezza o virus. I clienti internazionali possono ricevere supporto usando uno dei metodi elencati in Guida e supporto tecnico Microsoft. Tutti i clienti devono applicare gli aggiornamenti della sicurezza più recenti rilasciati da Microsoft per garantire che i sistemi siano protetti da tentativi di sfruttamento. I clienti che hanno abilitato l'Aggiornamenti automatica riceveranno automaticamente tutti gli aggiornamenti di Windows. Per altre informazioni sugli aggiornamenti della sicurezza, visitare Microsoft Security Central.

Risorse:

• È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
• I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
• I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
• Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Declinazione di responsabilità:

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni:

• 24 giugno 2008: Avviso pubblicato.
• 25 giugno 2008: Rimossi riferimenti errati al campo modulo e ai test dei valori dei cookie dalla descrizione dello strumento HP Scrawlr.

Costruito al 2014-04-18T13:49:36Z-07:00