Masivo “hackeo” golpeó más de medio millón de websites

Noticias24.- Un hackeo masivo de páginas web ha ocurrido en las últimas horas afectando a medio millón de páginas web, incluyendo algunas tan importantes como la del Departamento de Seguridad Nacional de los EEUU (Homeland Security), la de la Organización de Naciones Unidas y varias páginas oficiales del gobierno del Reino Unido. El ataque, del tipo conocido como Inyección SQL (SQL Injection), se manifestó únicamente en sitios que utilizan el servidor web de Microsoft, IIS.

El servidor IIS permite la ejecución de comandos genéricos que no requieren el conocimiento de la estructura de las tablas de base de datos, pero la vulnerabilidad debe achacarse no a Microsoft sino a la falta de seguimiento de los estándares de programación por parte de los desarrolladores de los sitios web afectados, que debieron filtrar y “sanear” apropiadamente todos los espacios donde los usuarios pueden introducir data, tales como planillas y formularios.

El ataque comienza introduciendo en las bases de datos del site un código JavaScript. Cuando la base de datos vuelca su contenido en una página web, este código JS se ejecuta y solicita un script externo que podrí­a afectar el computador de un usuario que visite esa página web.

Leemos en Wired:

El ataque en sí­ mismo inyecta código malicioso JavaScript en cada uno de los campos de texto en su base de datos, y este JavaScript carga un script externo que puede comprometer el computador de un usuario.

La mayor parte de los sitios afectados han reparado sus problemas y aseguran haber solucionado los problemas subyacentes en el código. Sin embargo, si deseas no correr el riesgo hay una manera simple de evitar el problema: usar Firefox con la extensión NoScript. Dado que el ataque carga un script desde un dominio distinto al visitado, NoScript evitará que se corra.

Las personas afectadas que residan en los EEUU, recomienda el ejecutivo de Microsoft Bill Sisk, deberí­an llamar al FBI a reportar los ataques. No sabemos si esto lo dice Microsoft por “polí­tica”, o si efectivamente el organismo gubernamental puede hacer algo, especialmente si estos ataques se planearon desde fuera de los EEUU.

El sitio web hackademix.net preparó un F.A.Q. (preguntas más frecuentes) con información técnica para las personas que mantengan sitios web con Microsoft IIS y ASP.

Via Wired