Connessioni / Next / Search / Sicurezza / Social
Microsoft, stavolta è Sql Server sotto tiro
Il bug c’è, l’exploit che lo sfrutta anche, ma a Microsoft non fa paura. Nessuna patch fuori ciclo, quindi: il problema, che risale ad aprile, sarà corretto nel prossimo Patch Tuesday
Dopo Internet Explorer, tocca a Sql Server il poco invidiabile ruolo di bersaglio: è Microsoft stessa a darne notizia, a pochi giorni di distanza dall’ormai nota patch d’emergenza - la seconda in due mesi - distribuita per ovviare ai problemi del proprio browser Web.
Il bollettino di Big M è chiaro: il bug espone al rischio di esecuzione arbitraria di codice sistemi sui cui è installato Sql Server 2000 e Sql Server 2005. L’exploit per sfruttarlo è in libera circolazione sul Web da qualche giorno, ma Microsoft non è al corrente di “attacchi inoltrati sulla base di questo exploit”. Insomma, il rischio c’è, ma per ora è più teorico che pratico. Anche perché, come evidenzia Microsoft, vi sono alcuni fattori mitiganti che fanno pensare che in quel di Redmond non verrà rilasciata una patch d’emergenza.
I database possono essere attaccati utilizzando il bug in questione solo a patto di avere le credenziali d’accesso: buoni candidati, quindi, sono quelli che sono accessibili via Web, visto che si può pensare di utilizzare per questo scopo qualcuno dei frequenti bug di tipo Sql injection. Più remota, per contro, appare la minaccia per chi usa in locale Sql Server: è il caso tipico di chi sfrutta Sql Server 2000 Desktop Engine o Sql Server 2005 Express.
La vulnerabilità in sé risiede nella stored procedure chiamata sp_replwritetovarbin, utilizzata da Microsoft per replicare le transazioni dei database: è stata resa nota a dicembre da Sec Consult Vulnerability Lab. Un altro caso di disclosure non proprio responsabile? Forse. Sta di fatto che l’azienda sostiene di avere messo al corrente della propria scoperta Big M ad aprile; quindi, Microsoft avrebbe avuto qualcosa come 200 giorni di tempo per ovviare al problema. Bisogna tuttavia sottolineare come l’azienda di Redmond non si sia lamentata del fatto, e come l’ analisi di una terza parte della vulnerabilità in questione parli di un bug “poco critico”: dunque, si potrebbe ascrivere il ritardo alla scarsa importanza del problema.
Tesi, quest’ultima, condivisa da buona parte degli esperti: ci sono molti modi migliori (e più semplici, evidentemente) per compromettere sistemi Windows. Probabile, quindi, che il bug di Sql Server venga corretto nel Patch Tuesday previsto per il prossimo 13 gennaio, senza ricorrere a patch d’emergenza.
Ancora nessun commento.