Microsoft ostrzega przed atakiem SQL

Kilka dni po załataniu krytycznej wady Przeglądarka Internet Explorer, Microsoft ostrzega teraz użytkowników o poważnym błędzie w swoim oprogramowaniu bazodanowym SQL Server.

Microsoft wydał w poniedziałek poradę bezpieczeństwa, informując, że błąd mógł zostać wykorzystany do uruchomienia nieautoryzowanego oprogramowania w systemach z uruchomionymi wersjami Microsoft SQL Server 2000 i SQL Server 2005.

Został opublikowany kod ataku wykorzystujący błąd, ale Microsoft powiedział, że nie widział jeszcze tego kodu wykorzystywanego w atakach internetowych. Serwery bazy danych mogłyby zostać zaatakowane z wykorzystaniem tej wady, gdyby przestępcy w jakiś sposób znaleźli sposób na zalogowanie się do systemu, a aplikacje internetowe, które ucierpiały na stosunkowo typowych błędach SQL injection, mogłyby zostać wykorzystane jako ataki w celu ataku na wewnętrzną bazę danych.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Użytkownicy komputerów z systemem Microsoft SQL Server 2000 Desktop Engine lub SQL Server 2005 Express mogą być w pewnych okolicznościach zagrożeni, powiedział Microsoft.

Błąd leży w procedurze przechowywanej o nazwie "sp_replwritetovarbin", która jest używana przez oprogramowanie firmy Microsoft podczas replikowania transakcji bazy danych. Została publicznie ujawniona 9 grudnia przez firmę SEC Consult Vulnerability Lab, która poinformowała o problemie Microsoftu w kwietniu.

"Systemy z Microsoft SQL Server 7.0 z dodatkiem Service Pack 4, Microsoft SQL Server 2005 z dodatkiem Service Pack 3 i Microsoft SQL Problem ten nie dotyczy serwera 2008 "- powiedział Microsoft w swoim doradztwie.

To trzeci poważny błąd oprogramowania Microsoftu, który ma zostać ujawniony w zeszłym miesiącu, ale jest mało prawdopodobne, aby był używany w szeroko rozpowszechnionych atakach, zgodnie z Marc Maiffret, dyrektor ds. Profesjonalnych usług, z The DigiTrust Group, firmą konsultingową zajmującą się bezpieczeństwem. "Jest dość niskie ryzyko, biorąc pod uwagę inne słabe punkty, które istnieją", powiedział za pośrednictwem wiadomości błyskawicznej. "Istnieje wiele lepszych sposobów na kompromisowanie systemów Windows."

Po stwierdzeniu usterki Internet Explorera w rosnącej liczbie ataków online, Microsoft wydał w ubiegłą środę awaryjną poprawkę do wydania. Firma twierdzi, że widziała także "ograniczone i ukierunkowane ataki" wykorzystujące poważny błąd w plikach WordPad Text Converter for Word 97. Podobnie jak w przypadku błędu SQL, ta luka w zabezpieczeniach konwertera plików WordPad nie została załatana, ale jest najlepszym kandydatem do naprawienia w nadchodzących aktualizacjach zabezpieczeń firmy Microsoft z 13 stycznia.