El servidor IIS permite la ejecución de comandos genéricos que no requieren el conocimiento de la estructura de las tablas de base de datos, pero la vulnerabilidad debe achacarse no a Microsoft sino a la falta de seguimiento de los estándares de programación por parte de los desarrolladores de los sitios web afectados, que debieron filtrar y “sanear” apropiadamente todos los espacios donde los usuarios pueden introducir data, tales como planillas y formularios.
El ataque comienza introduciendo en las bases de datos del site un código JavaScript. Cuando la base de datos vuelca su contenido en una página web, este código JS se ejecuta y solicita un script externo que podría afectar el computador de un usuario que visite esa página web.
Leemos en Wired:
El ataque en sí mismo inyecta código malicioso JavaScript en cada uno de los campos de texto en su base de datos, y este JavaScript carga un script externo que puede comprometer el computador de un usuario.
La mayor parte de los sitios afectados han reparado sus problemas y aseguran haber solucionado los problemas subyacentes en el código. Sin embargo, si deseas no correr el riesgo hay una manera simple de evitar el problema: usar Firefox con la extensión NoScript. Dado que el ataque carga un script desde un dominio distinto al visitado, NoScript evitará que se corra.
Las personas afectadas que residan en los EEUU, recomienda el ejecutivo de Microsoft Bill Sisk, deberían llamar al FBI a reportar los ataques. No sabemos si esto lo dice Microsoft por “política”, o si efectivamente el organismo gubernamental puede hacer algo, especialmente si estos ataques se planearon desde fuera de los EEUU.
El sitio web hackademix.net preparó un F.A.Q. (preguntas más frecuentes) con información técnica para las personas que mantengan sitios web con Microsoft IIS y ASP.
News
Site map
SitemapIndex
RSS Feed