Nieuws

Systeembeheerders onderschatten SQL-injectie

dinsdag 12 mei 2009, 09:38 door Redactie, 9 reacties

SQL-injectie is dé manier bij uitstek voor aanvallers om toegang tot de gehele infrastructuur te krijgen, toch onderschatten systeem- en databasebeheerders het probleem, aldus Harlan Carvey van IBM's Internet Security Systems. "Wat veel databasebeheerders niet begrijpen, is dat SQL-injectie een aanvaller niet alleen gegevens in de database van de webapplicatie laat manipuleren, het kan ook directe toegang tot het besturingssysteem bieden waarop de database draait." Via features zoals xp_cmdshell in Microsoft SQL Server is het mogelijk om DOS shell commando's op het onderliggende besturingssysteem uit te voeren met dezelfde rechten als de database, en in de meeste gevallen gaat het dan om systeemrechten waardoor een aanvaller volledige controle kan krijgen.

Carvey merkt op dat aanvallers eerst "dir" en "type" commando's uitvoeren om de inhoud van een lokale schijf te bepalen en vervolgens via "ipconfig" en "ping" de netwerkverbinding controleren. Via het "net" commando kan de aanvaller dan een gebruiker aan het systeem of domein toevoegen en andere systemen binnen het netwerk vinden die een SQL-server of MSDE draaien.

FTP client
Ook het infecteren van systemen met malware is via SQL-injectie vrij eenvoudig, wat ook geldt voor het draaien van een FTP server op een gehackte machine. "Sommige systeembeheerders weten niet dat er standaard een FTP client op Windows systemen draait of zijn niet bekend met wat een FTP script is of hoe het eruit ziet." Het probleem gaat volgens Carvey verder dan het plunderen van gevoelige gegevens uit databases. Aangezien de machines zich vaak diep binnen het netwerk bevinden, kan een aanvaller uiteindelijk ook de rest van de infrastructuur verkennen en aanvallen.

Picture Hunter malware steelt foto's van PC's

Tiener bekent DDoS-aanvallen op Scientology

Reacties (9)

12-05-2009, 09:41 door Anoniem

Via features zoals xp_cmdshell in Microsoft SQL Server is het mogelijk om DOS shell commando's op het onderliggende besturingssysteem uit te voeren ...

Prachtig dat MS software...

12-05-2009, 09:53 door micmast

Dit is niet echt nieuw, het xp_cmdshell kan al gebruikt worden sinds windows MSSQL 2000. En dit beperkt zich niet enkel tot Microsoft's SQL oplossing, maar ook mysql en andere hebben functies op files te uploaden/downloaden en dergelijke. ik heb me wel altijd afgevraagd waarom een SQL server dergelijke functies nodig heeft.

12-05-2009, 10:00 door Anoniem

Heb niet heel veel kennis van SQL injecties op windows machines, maar moet je niet van goede huize komen om een windows 2k3 of 2k8 te SQL injecten? Of gaan deze mannen fysiek de servers te lijf, laptop > wall-outlet en kijken waar je terecht komt?

12-05-2009, 10:46 door SirDice

Door Anoniem: Heb niet heel veel kennis van SQL injecties op windows machines, maar moet je niet van goede huize komen om een windows 2k3 of 2k8 te SQL injecten? Of gaan deze mannen fysiek de servers te lijf, laptop > wall-outlet en kijken waar je terecht komt?

Nee, gewoon brakke code die gebruik maakt van die SQL server. Input validatie wordt nog steeds niet of slecht gedaan. Koppel dat aan een SQL server die op een domain admin account o.i.d. draait (omdat er anders iets niet werkt en ze niet begrijpen hoe dat op te lossen) en je hebt het recept voor een kleine ramp.

Overigens is xp_cmdshell al sinds jaar en dag uit te schakelen en is zelfs in z'n geheel te verwijderen. Vergeet ook xp_regread en xp_regwrite niet.

12-05-2009, 10:53 door Anoniem

Door SirDice:

Rotte *.aspx of *.php dus bijv.? Thx voor de uitleg ;)

12-05-2009, 11:48 door micmast

Door SirDice:
Overigens is xp_cmdshell al sinds jaar en dag uit te schakelen en is zelfs in z'n geheel te verwijderen. Vergeet ook xp_regread en xp_regwrite niet.

Bij default vanaf 2005 staat xp_cmdshell ook uitgeschakelt, maar is zeer snel terug in te schakelen.

Een andere fout is dat mensen teveel rechten geven aan gebruikers, als je op een goede manier rekening houdt met rechten (maw sqladmin, read only, write op specifieke tables,...) dan kan dit soort dingen al een deel beperken. Nooit helemaal natuurlijk, maar al wel een groot stuk.

12-05-2009, 11:55 door Anoniem

En komt Harlan morgen met het nieuws dat systeembeheerders XSS onderschatten, en overmorgen met het nieuws dat beheerders remote code execution is onderschat? Wat hij vergeet te vertellen is dat het onderschatten niet ligt bij vorm waarin het kwaad kan optreden, maar wat de oorzaak daarvan is. Wat men onderschat zijn de gevolgen van het ontbreken of ontoereikende invoervalidatie!

12-05-2009, 17:17 door SirDice

Door micmast:
Een andere fout is dat mensen teveel rechten geven aan gebruikers, als je op een goede manier rekening houdt met rechten (maw sqladmin, read only, write op specifieke tables,...) dan kan dit soort dingen al een deel beperken. Nooit helemaal natuurlijk, maar al wel een groot stuk.

Absoluut. Die fout wordt overigens niet alleen met MS-SQL gemaakt. Op MySQL wordt heel vaak voor het gemak maar even GRANT ALL gedaan, als ze uberhaubt al een extra account aanmaken.

14-05-2009, 20:55 door Anoniem

Door Anoniem:

Via features zoals xp_cmdshell in Microsoft SQL Server is het mogelijk om DOS shell commando's op het onderliggende besturingssysteem uit te voeren ...

Prachtig dat MS software...

Het heeft niets met MS te maken en ook niet met Windows Servers. Lees maar eens:

http://www.net-security.org/dl/insecure/INSECURE-Mag-18.pdf

Staat een leuk stuk ik over Web Application Security.

Het betreft alle platformen, Windows en *nix. Gaat gewoon erom dat je de webapplicatie kan manipuleren en daarmee SQL statements aan kan passen en de onderliggende database kunt manipuleren.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Systeembeheerders onderschatten SQL-injectie

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren