SANS og Microsoft advarer om en ny orm, der gennemsøger nettet efter SQL servere. Ormen, der går under navnet SQLSnake, er blandt andet skrevet i JavaScript og udnytter to svagheder i SQL Server.
Den første er de såkaldte "extended stored procedures" - databaseværktøjer der blandt andet kan bruges til at give databasen adgang til operativsystemet eller netværket. SQL Server leveres med en stribe stored procedures, og et fællestræk ved dem som installeres automatisk er, at de ikke er gode nok til at tjekke indgående data, og dermed er sårbare overfor såkaldte buffer underruns. Det skriver digi.no.
Den anden svaghed ormen udnytter er en standard administratorkonto, kendt som "SA", som ofte står ubeskyttet uden kodeord.
Lykkes det ormen at komme ind i serveren, reproducerer den sig selv og udnytter offeret til at angribe andre servere. Præcis hvilke skader SQLSnake laver er endnu uvist, men man ved, at ormen snupper filer med passwords sendes med e-mail til adressen ixitd@postone.com.
Link:
