| Noticias | 02 JUL 2007

Hackean la web inglesa de Microsoft mediante inyección de SQL

Tags: Seguridad
El pasado miércoles, una de las páginas que mantiene la filial inglesa de Microsoft (www.microsoft.co.uk) que mostraba inicialmente un evento para partners fue modificada por la fotografía de un niño agitando la bandera de Arabia Saudí.
Daniel Comino
Este defacement (o desfiguración) se produjo aprovechando las ya conocidas técnicas de SQL Inyection, o inyección SQL, a las que era vulnerable la página y, una vez conseguido, la noticia se propagó por decenas de blogs y sitios especializados en seguridad, como zone-h, donde se publicó la noticia y se realizó una captura del resultado de la desfiguración.

Según Roger Halbheer, consejero jefe de seguridad para Microsoft en Europa, el hecho de que la página en cuestión fuese vulnerable a técnicas de ataque mediante inyección SQL fue un error desafortunado.

El hacker, que firmó su hazaña como “rEmOtEr”, utilizó en su ataque sencillas técnicas de inyección de código que le valieron para obtener acceso a la base de datos de la aplicación mediante la modificación de los parámetros de entrada en la URL. Según Halbheer, el atacante envió varias consultas al servidor de Microsoft que alojaba la página en la que se anunciaba el evento para conocer su estructura. Con posterioridad, “rEmOtEr” realizó una modificación en la base de datos con el fin de que, cada vez que mostrase el evento, en su lugar saliera la fotografía del niño con la bandera de Arabia Saudí.

Este tipo de ataques están perfecta y ampliamente documentados en multitud de sitios web de internet (PC World ha realizado varios cursos de protección ante éstas y otras técnicas similares, como inyección de SQL a ciegas, o Blind SQL Injection). De hecho, se da la paradoja de que Microsoft es una de las empresas que más ha tratado de alertar a las empresas de este tipo de vulnerabilidades en múltiples eventos mundiales, como PDC; europeos, como TechED; o locales, como Security Day.

Esta desfiguración no es la primera que afecta a Microsoft ya que, hace tan sólo unos meses, se realizó con éxito otro ataque, esta vez en la página ieak.microsoft.com, donde se mostró una fotografía de Bill Gates en la que se le veía cubierto de tarta.

Conviene recordar que los ataques de inyección de código no son responsabilidad de Microsoft, ni son inherentes a productos de Microsoft, sino que se trata de vulnerabilidades independientes de plataformas o sistemas.

Para evitar este tipo de ataques es necesario revisar el código que se va a publicar en el servidor web, evitando el envío de comillas o comandos del sistema (como delete, update, insert, por ejemplo), así como validar todo tipo de datos de entrada (por valor o por referencia) desde las páginas web por parte del usuario. Para ello es importante tratar, por defecto, al visitante de la web como hostil, ya que en cualquier momento puede penetrar en cualquiera de nuestros servicios.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información