Dankzij een nieuwe techniek die vorige week gepresenteerd werd, is het hacken van Oracle databases een stuk eenvoudiger geworden. Voorheen hadden aanvallers voor het uitvoeren van PL SQL injectie aanvallen nog "create procedure" rechten op de database nodig, maar dat is verleden tijd. Dankzij "cursor injectie" zijn alleen "create session" rechten benodigd.

"Door deze truc hebben aanvallers minimale rechten nodig om volledige controle over de database server te krijgen. Je kunt de truc gebruiken via een groot aantal beveiligingslekken waarvan eerst werd gedacht dat ze niet zo ernstig waren" zegt onderzoeker David Litchfield die vorig jaar al met het concept voor zijn aanval speelde.

In het verleden had je voor de meeste PL SQL injectie lekken "create procedure" rechten op de database nodig, iets dat de meeste gebruikers niet hebben. Door deze techniek kan iedereen de met de database verbinding maakt dit soort lekken misbruiken, aldus Litchfield. De techniek werkt door het injecteren van een van tevoren gecompileerde cursor in een kwetsbaar PL SQL object.

In de toekomst moet Oracle het gebruik van rechten dan ook niet meer als oplossing voor PL SQL lekken aanraden. Dit soort oplossingen zorgen ervoor dat Oracle klanten het patchen uitstellen, wat ze kwetsbaar maakt. "Excuses om dit soort lekken niet te patchen bestaan niet meer", waarschuwt de onderzoeker.

En de waarschuwing is niet onterecht, want gisteren is er een exploit verschenen die de nieuwe techniek gebruikt om aanvallers toegang tot Oracle 9i en 10g databases te geven.