Dopo il defacement subito dal sito Microsoft Technet, alcuni hackers, sono riusciti ancora una volta ad eseguire con successo un attacco ai danni di Microsoft, questa volta però contro il sito Microsoft.co.uk.

La vulnerabilità risiederebbe nel parametro v2 passato allo script PreRegister.aspx, permetta di eseguire oltre che attacchi XSS (www.microsoft.co.uk/events/net/PreRegister.aspx?eventID=p8399&v2=”><script>alert(/XSS/)</script>), anche attacchi SQL Injection, cosa facilmente deducibile dal messaggio di debug generato dalla web application.anche attacchi SQL Injection.

L’attaccante ha quindi sfruttato l’SQL Injection

per inserire il codice HTML “<link xhref=http://h.1asphost.com/remoter/css.css type=text/css rel=stylesheet>” in un determinato campo della tabella, il quale viene letto al momento di generare la pagina richiesta. Per conoscere i nomi delle tabelle interessate, l’attaccante può aver fatto una query per leggere la tabella di sistema “SysObjects” o la vista INFORMATION_SCHEMA.TABLES, considerando che il DBMS utilizzato è quasi sicuramente MS SQL Server.

Il codice HTML inserito porta la pagina ad essere visualizzata come mostrato nella figura in basso.

Il defacer, inoltre, ha rilasciato un video in cui mette in evidenza le falle di tipo SQL Injection che affliggono il sito. Nel video l’attaccante dimostra come sia possibile ottenere username e password dal database di Microsoft.co.uk. Il video può essere scaricato qui.

Via Zone-H.