Массированная атака: 500 тыс. IIS-серверов подверглись SQL-инъекции

Новая атака, осуществляемая при помощи SQL-инъекций, направлена на 500 тыс. веб-серверов Microsoft IIS, среди которых веб-ресурсы Организации Объединенных Наций, правительства Великобритании и Департамента Национальной Безопасности США. Хотя Microsoft не виновна в атаке, она уникальна для IIS-серверов.

Автоматизированная атака используется для того, чтобы IIS-серверы Microsoft позволяли генерировать команды. Однако уязвимость является результатом плохой обработки данных на конкретных сайтах, а не ошибки Microsoft.

Иными словами, нет патча, что устранить возникшие проблемы. Проблема возникла по вине разработчиков сайтов, которые недостаточно хорошо обеспечивают безопасность обработки входных данных.

Сама же атака основана на инъекции вредоносных JavaScript-кодов в текстовых полях базы данных. После внедрения Javascript загружает внешний сценарий, который может скомпрометировать пользовательский ПК.

Большинство крупных организаций, пострадавших от массированной атаки, решили проблему сами и утверждают, что проблема возникла из-за их кода, который был исправлен. Если пользователь желает избежать данной проблемы, есть простой - использовать Firefox с NoScript.

До сих пор не было никаких данных о том, кто стоит за атаками.