Aviso de Segurança da Microsoft 954462

Aumento dos Ataques de Injecção de SQL que Exploram Entradas de Dados de Utilizadores Não Verificados

Data de publicação: 24 de junho de 2008

A Microsoft tomou conhecimento de uma recente subida num tipo de ataques que visam Web sites que utilizam as tecnologias Microsoft ASP e ASP.NET, mas não seguem os procedimentos recomendados para desenvolvimento de aplicações Web seguras. Estes ataques de injecção de SQL não exploram uma vulnerabilidade específica do software, visando Web sites que não seguem procedimentos de codificação de segurança para acesso e manipulação de dados armazenados numa base de dados relacionada. Quando um ataque de injecção de SQL tem sucesso, um intruso pode comprometer dados armazenados nestas bases de dados e, possivelmente, executar código remoto. Os clientes que navegam para um servidor comprometido poderiam, inconscientemente, ser reencaminhados para sites maliciosos que podem instalar software malicioso na máquina do cliente.

Factores Atenuantes:

Esta vulnerabilidade não é explorável em aplicações Web que seguem os procedimentos recomendados comuns para desenvolvimento de aplicações Web seguras através da verificação de entradas de dados de utilizadores.

Informações Gerais

Objectivo do Aviso: Ajudar os administradores a identificar e corrigir códigos de aplicações Web ASP e ASP.NET vulneráveis que não seguem os procedimentos recomendados para o desenvolvimento de aplicações Web seguras.

Estado do Aviso: Foi publicado um Aviso de Segurança da Microsoft e foram fornecidas ferramentas associadas.

Recomendação: Verifique e configure as acções sugeridas adequadas. Recomenda-se também que os administradores de servidores avaliem a eficácia das ferramentas discutidas e as utilizem conforme necessário.

Este aviso abrange o seguinte software:

Software Relacionado
Tecnologias Microsoft ASP e ASP.NET

Qual é a abrangência deste aviso?
Este aviso pretende ajudar os administradores do Web site a identificar questões possíveis associadas ao facto de o código da sua aplicação Web estar susceptível a possíveis ataques de injecção de SQL e fornecer uma solução temporária para atenuar ataques de injecção de SQL contra o servidor enquanto as aplicações são corrigidas.

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?
Não. Qualquer código de aplicação Web que tenha seguido os procedimentos recomendados comuns relativos a segurança está bastante menos susceptível ao ataque de injecção de SQL. Embora não seja uma vulnerabilidade de segurança, este aviso foi publicado para fornecer um aviso adicional e assistência aos administradores com sites vulneráveis.

O que provoca esta ameaça?
Uma falha na validação adequada de entradas do utilizador pode permitir que um intruso injecte comandos SQL em campos de entradas, que poderão depois ser executados face a uma fonte de dados, conduzindo à corrupção da base de dados ou execução de código no servidor.

Como poderia um intruso utilizar esta função?
Os intrusos poderão conceber um ataque automático que pode aproveitar as vulnerabilidades de injecção de SQL em páginas Web que não seguem os procedimentos de segurança recomendados para desenvolvimento de aplicações Web. Depois de comprometer um site, um intruso pode executar muitas operações maliciosas no servidor, como, por exemplo, eliminar a base de dados e redireccionar clientes que navegam no servidor para sites maliciosos que podem instalar software malicioso na máquina do cliente.

A Microsoft identificou várias ferramentas para ajudar os administradores. Estas ferramentas abrangem detecção, defesa e identificação de possíveis codificações que possam ser exploradas por um intruso.

  • Detecção – HP Scrawlr

    A Hewlett Packard desenvolveu um programa de análise gratuito que pode identificar sites susceptíveis de injecção de SQL. Esta ferramenta e suporte para a sua utilização podem ser encontrados em Finding SQL Injection with Scrawlr (Encontrar Injecção de SQL com o Scrawlr), no HP Security Center (Centro de Segurança HP).

    Descrição detalhada:
    Esta será uma ferramenta de análise do tipo "caixa negra" (ou seja, não necessitará de código fonte). O utilizador introduzirá um URL inicial e a ferramenta irá:

    • Pesquisar recursivamente hiperligações no URL para construir uma árvore do site.
    • Testar injecções de SQL detalhadas em todas as ligações descobertas, enviando pedidos HTTP que contenham cadeias de ataques de injecção de SQL em campos de formulários, parâmetros de cadeias de consulta e valores de cookies.
    • Examinar as respostas HTTP do servidor para mensagens de erro SQL que indicariam uma vulnerabilidade de injecção de SQL.
    • Comunicar ao utilizador quaisquer páginas consideradas como vulneráveis, juntamente com os campos de entrada associados. Por exemplo, a ferramenta poderá indicar que os campos "nome de utilizador" e "palavra-passe" na página “foo.asp” estão vulneráveis.
  • Defesa – UrlScan versão 3.0 Beta

    A UrlScan versão 3.0 Beta é uma ferramenta de segurança da Microsoft que restringe os tipos de pedidos HTTP que o Internet Information Services (IIS) irá processar. Bloqueando pedidos HTTP específicos, a ferramenta UrlScan ajuda a impedir que pedidos potencialmente nocivos cheguem à aplicação Web no servidor. A ferramenta UrlScan 3.0 pode ser instalada no IIS 5.1 e posteriores, incluindo o IIS 7.0. A UrlScan 3.0 encontra-se em URLScan Tool 3.0 Beta.

    Descrição detalhada:
    A UrlScan versão 3.0 é uma ferramenta que vai permitir implementar muitas regras diferentes para proteger melhor as aplicações Web em servidores contra ataques de injecção de SQL. Estas funcionalidades incluem:

    • A possibilidade de implementar regras de negação aplicadas independentemente a um URL, cadeia de consulta, todos os cabeçalhos, a um cabeçalho em particular ou a qualquer combinação destes factores.
    • Uma secção DenyQueryString global que lhe permite adicionar regras de negação para cadeias de consulta, com a opção de verificar também a versão da cadeia de consulta que não escapou ao ataque.
    • A possibilidade de usar sequências de escape nas regras de negação para CRLF e outras sequências de caracteres não imprimíveis em configuração.
    • Podem ser instaladas várias instâncias do UrlScan como filtros de sites, com configurações e opções de início de sessão exclusivas (urlscan.ini).
    • As notificações de alteração de configuração (urlscan.ini) serão aplicadas a processos de trabalho sem que seja necessária reciclagem. As configurações de registo são excepção.
    • Início de registo avançado para fornecer erros de configuração descritivos.
  • Identificação – Microsoft Source Code Analyzer for SQL Injection

    Foi desenvolvida uma ferramenta de análise de código fonte de SQL. Esta ferramenta pode ser usada para detectar código ASP susceptível de ataques de injecção de SQL. Esta ferramenta encontra-se no Artigo 954476 da Base de Dados de Conhecimento Microsoft.

    Descrição detalhada:

    A Microsoft Source Code Analyzer for SQL Injection é uma ferramenta autónoma que os clientes podem executar no seu próprio código fonte ASP. Além da própria ferramenta, está incluída documentação sobre formas de corrigir os problemas que encontra no código que analisa. Algumas das funcionalidades principais desta ferramenta são:

    • Análise de código fonte ASP que pode conduzir a vulnerabilidade de injecção de SQL.
    • Criação de uma saída que apresenta a questão associada a codificação.
    • Esta ferramenta só identifica vulnerabilidades no código ASP clássico. Não funciona com o código ASP.NET.
  • Informações Adicionais

    A Microsoft dispõe de outros recursos para ajudar os administradores a identificar e corrigir questões associadas a esta exploração.

Outras informações

Os clientes nos Estados Unidos da América e no Canadá que pensam poder ter sido afectados por esta possível vulnerabilidade podem receber assistência através dos Serviços de Suporte Técnico da Microsoft pelo número 1-866-PCSAFETY. Este é um serviço gratuito para questões relacionadas com actualizações de segurança ou vírus. Os clientes internacionais podem receber assistência utilizando qualquer um dos métodos apresentados na Ajuda e Suporte da Microsoft.

Todos os clientes devem aplicar as mais recentes actualizações de segurança lançadas pela Microsoft para ajudar a assegurar que os seus sistemas estão protegidos contra tentativas de exploração da vulnerabilidade. Os clientes que tiverem as Actualizações automáticas activadas receberão automaticamente todas as actualizações do Windows. Para mais informações sobre as actualizações de segurança, visite o Centro de Segurança da Microsoft.

Recursos:

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • 24 de Junho de 2008: Aviso publicado

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: