TechNet
Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 954462

Toename in SQL-injectieaanvallen die misbruik maken van niet-geverifieerde gegevensinvoer van gebruikers

Gepubliceerd: dinsdag 24 juni 2008

Microsoft is op de hoogte van het feit dat er de laatste tijd meer aanvallen zijn geweest op websites waarop Microsoft ASP- en ASP.NET-technologieën worden gebruikt, maar waarop de ontwikkeling van webtoepassingen niet afdoende is beveiligd. Deze SQL-injectieaanvallen maken geen misbruik van bepaalde beveiligingslekken in de software, maar zijn gericht op websites met onvoldoende beveiligde codes voor het openen en bewerken van gegevens in een relationele database. Wanneer een SQL-injectieaanval slaagt, kan een aanvaller gegevens die in deze databases zijn opgeslagen, beschadigen en mogelijk externe code uitvoeren. Gebruikers die naar een server gaan waarmee is geknoeid, kunnen zonder het te weten worden omgeleid naar schadelijke websites die malware op de computers van die gebruikers kunnen installeren.

Beperkende factoren:

Dit beveiligingslek kan niet worden misbruikt in webtoepassingen die zich houden aan de voorgeschreven procedures voor het beveiligen van webtoepassingen door gegevensinvoer van gebruikers te verifiëren.

Algemene informatie

Doel van het advies: Het assisteren van beheerders bij het identificeren en corrigeren van kwetsbare ASP- en ASP.NET-webtoepassingscode waar men zich niet heeft gehouden aan de voorgeschreven procedures voor het veilig ontwikkelen van webtoepassingen.

Status van het advies: Microsoft-beveiligingsadvies en bijbehorende hulpprogramma's zijn vrijgegeven.

Aanbeveling: De voorgestelde acties beoordelen en waar van toepassing configureren. Het wordt serverbeheerders ook aangeraden eerst de effectiviteit van de besproken hulpprogramma's te onderzoeken en die programma's pas te gebruiken als zij ze nodig hebben.

Dit advies betreft de volgende software:

Verwante software
Microsoft ASP- en ASP.NET-technologieën

Wat is de omvang van het advies?
Dit advies is bedoeld om websitebeheerders te assisteren bij het identificeren van mogelijke problemen met hun webtoepassingscode die kwetsbaar is voor mogelijke SQL-injectieaanvallen, en om hen een oplossing te bieden voor het beperken van dergelijke aanvallen op hun server terwijl de toepassingen worden gerepareerd.

Is dit beveiligingslek dermate ernstig dat Microsoft er een beveiligingsupdate voor moet uitbrengen?
Nee. Elke webtoepassingscode die voldoet aan de voorgeschreven beveiligingsprocedures, is minder kwetsbaar voor SQL-injectieaanvallen. Hoewel dit geen beveiligingslek is, is dit advies toch uitgegeven om beheerders van kwetsbare websites extra te waarschuwen en te assisteren.

Wat kunnen de gevolgen van deze bedreiging zijn?
Als gebruikersinvoer niet op de juiste manier kan worden gevalideerd, kan een aanvaller SQL-opdrachten in invoervelden 'injecteren', waardoor de kans bestaat dat die opdrachten op een gegevensbron worden uitgevoerd, wat kan leiden tot beschadiging van de database of het uitvoeren van code op de server.

Met welk doel kan een kwaadwillende deze functie misbruiken?
Aanvallers kunnen een geautomatiseerde aanval opzetten die misbruik kan maken van locaties op websites die kwetsbaar zijn voor SQL-injecties als de voorgeschreven procedures voor het veilig ontwikkelen van webtoepassingen niet zijn gevolgd. Nadat de website is beschadigd, kan een aanvaller talloze schadelijke bewerkingen op de server uitvoeren, zoals het verwijderen van databases en het omleiden van gebruikers die op de server aan het werk zijn, naar schadelijke websites die malware op de computers van die gebruikers kunnen installeren.

Beheerders kunnen dergelijke problemen voorkomen met een aantal hulpprogramma's die door Microsoft worden aanbevolen. Met deze hulpprogramma's kan worden gedetecteerd, beschermd en kan code worden opgezocht waarmee een aanvaller zich toegang tot systemen kan verschaffen.

  • Detectie – HP Scrawlr

    Hewlett Packard heeft een gratis scanner ontwikkeld die kan bepalen of websites kwetsbaar zijn voor SQL-injecties. Dit hulpprogramma en de ondersteuning voor het gebruik van dat programma staan op Finding SQL Injection with Scrawlr in het HP Security Center.

    Gedetailleerde beschrijving:
    Het hulpprogramma is een analyseprogramma dat direct kan worden gebruikt. Er is dus geen broncode voor nodig. De gebruiker voert eerst een URL in waarna het programma het volgende doet:

    • De URL herhaaldelijk afzoeken naar hyperlinks om een structuur van websites op te bouwen.
    • Alle gevonden koppelingen testen op uitgebreide SDL-injecties door HTPP-verzoeken te verzenden met tekenreeksen van een SQL-injectieaanval in waarden van formuliervelden, parameters in query's en cookies.
    • De HTTP-antwoorden van de server controleren op SQL-foutberichten die zouden kunnen wijzen op een beveiligingslek door SQL-injecties.
    • De gebruiker informeren over alle kwetsbare pagina's die zijn gevonden, met daarbij ook de bijbehorende invoervelden. Het hulpprogramma zou bijvoorbeeld kunnen melden dat de velden "gebruikersnaam" en "wachtwoord" op pagina "foo.asp" kwetsbaar zijn.
  • Verdediging – Bètaversie van Urlscan 3.0

    De bètaversie van Urlscan 3.0 is een Microsoft-beveiligingsprogramma dat de typen HTTP-verzoeken beperkt die door Internet Information Services (IIS) worden verwerkt. Door specifieke HTTP-aanvragen te blokkeren, kan Urlscan voorkomen dat mogelijk schadelijke verzoeken bij de webtoepassingen op de server binnenkomen. Urlscan 3.0 kan worden geïnstalleerd in IIS 5.1 en hoger en ook in IIS 7.0 en is te downloaden van URLScan Tool 3.0 Beta.

    Gedetailleerde beschrijving:
    Urlscan versie 3.0 is een hulpprogramma waarmee u een groot aantal regels kunt implementeren voor het beter beveiligen van webtoepassingen op servers tegen SQL-injectieaanvallen. Deze functies zijn:

    • De mogelijkheid om beperkingsregels onafhankelijk te kunnen implementeren voor een URL, queryreeks, alle headers, en/of een bepaalde header.
    • Een algemene sectie Denyquerystring waarmee u beperkingsregels voor tekenreeksen kunt toevoegen, met de optie om ook de 'niet-escaped' versie van de queryreeks te controleren.
    • De mogelijkheid om ontsnappingsreeksen in de beperkingsregels te gebruiken om CRLF en andere niet-afdrukbare tekenreeksen in de configuratie te weigeren.
    • Er kunnen meerdere instanties van Urlscan als filters voor websites worden geïnstalleerd, elk met een eigen configuratie en eigen aanmeldingsopties (urlscan.ini).
    • Meldingen over wijzigingen in de configuratie (urlscan.ini) zullen worden doorgegeven aan werkprocessen zonder dat ze opnieuw hoeven te worden gebruikt. Instellingen van logboeken zijn hierop een uitzondering.
    • Verbeterde logboekregistratie met duidelijker omschreven configuratiefouten.
  • Identificatie – Microsoft Source Code Analyzer for SQL Injection

    Er is een hulpprogramma voor het analyseren van SQL-broncode ontwikkeld. Dit hulpprogramma kan worden gebruikt voor het opzoeken van ASP-code die kwetsbaar is voor SQL-injectieaanvallen. Dit hulpprogramma kan worden gevonden in Microsoft Knowledge Base-artikel 954476.

    Gedetailleerde beschrijving:

    De Microsoft Source Code Analyzer for SQL Injection is een zelfstandig hulpprogramma dat gebruikers op hun eigen ASP-broncode kunnen uitvoeren. Bij dit hulpprogramma zit documentatie waarin wordt beschreven hoe de problemen in de geanalyseerde code kunnen worden verholpen. Enkele belangrijke functies van dit hulpprogramma zijn:

    • Scannen van ASP-broncode op code die kan leiden tot beveiligingslekken waardoor SQL-code kan worden geïnjecteerd.
    • Genereren van een rapport over de code die het probleem veroorzaakt.
    • Dit hulpprogramma identificeert alleen beveiligingslekken in klassieke ASP-code. Het programma werkt niet bij ASP.NET-code.
  • Extra informatie

    Microsoft heeft een aantal informatiebronnen beschikbaar gesteld ter ondersteuning van beheerders bij het opzoeken en corrigeren van problemen die dergelijke beveiligingslekken veroorzaken.

Overige informatie

Klanten in de VS en Canada die van mening zijn dat zij slachtoffer zijn geworden van dit probleem, kunnen voor technische ondersteuning contact opnemen met Microsoft Product Support Services via 020-500 1005. Voor ondersteuning in verband met beveiligingsupdates en virussen wordt geen kosten in rekening gebracht. Internationale klanten kunnen voor ondersteuning contact opnemen via een van de methoden die staan vermeld op de website Hulp en ondersteuning van Microsoft.

Alle klanten dienen de nieuwste beveiligingsupdates van Microsoft toe te passen om ervoor te zorgen dat hun systemen beschermd zijn tegen pogingen tot misbruik. Klanten die de functie Automatische updates hebben ingeschakeld ontvangen alle Windows-updates automatisch. Voor meer informatie over beveiligingsupdates verwijzen wij gebruikers naar de website van het beveiligingscentrum van Microsoft.

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • 24 juni 2008: Advies gepubliceerd

Built at 2014-04-18T01:50:00Z-07:00

Weergeven:
© 2016 Microsoft