На прошлой неделе ИТ-компании Websence и антивирусный вендор F-Secure независимо друг от друга сообщили о взломе почти 500 000 сайтов, работающих на базе ПО Microsoft. Исследователи сообщали, что среди взломанных сайтов присутствовали сайты правительственных учреждений, структур ООН и других.
По словам Уильям Сиск, менеджер Microsoft Security Response Center, в своем блоге пишет: «Наше расследование показало, что в продуктах нет новых или неизвестных уязвимостей, которые были использованы злоумышленниками. Волна массового взлома — это не результат дыр в Internet Information Services или Microsoft SQL Server».
Исследователи отметили, что во всех случаях на благо хакеров орудовал автоматический скрипт, который занимался поиском сайтов на базе Windows, отыскивал в них конкретную брешь и эксплуатировал ее. На всех взломанных сайтах алгоритм взлома был идентичен, а трояны, которые были внедрены были одними и теми же. По данным F-Secure, хакеры использовали технику так называемых SQL-инъекций, когда при помощи специально сконструированного запроса можно обойти ограничения на привилегия и внедрить в СУБД любой текст или код.
В данном случае в SQL Server внедрялся код, который обращался к удаленному файлу 1.js. В свою очередь 1.JS пытался «работать» с другими веб-приложениями на Windows-серверах.
На сегодня Microsoft уже опубликовала рекомендации по защите программного обеспечения на сайте Security Response Center.