Arquivo Antivírus e Segurança

SQL Injection causa infecção em milhões de sites

Paulo Graveheart
Por

As melhores ofertas,
sem rabo preso

No exato momento em que você está lendo esse texto, milhões de URLs de diversos sites estão infectados com um código malicioso. Não se sabe quem começou o ataque. Apenas se sabe que ele é extremamente eficiente, e se aproveita de falhas de segurança em versões antigas de servidores.

O ataque, batizado até o momento de LizaMoon, se aproveita de uma (ou várias) vulnerabilidades em centenas de milhares de servidores rodando versões do Microsoft SQL Server 2003 e 2005. E, mesmo assim, não se sabe ainda se a vulnerabilidade está no banco de dados ou em sistemas de CMS que estejam instalados nesses servidores.

Usando um simples esquema de SQL Injection, o vírus varre o banco de dados atrás de posts e páginas diversas, e insere um link para um arquivo javascript no servidor do atacante. Como até o momento já temos milhões de página infectadas, não é difícil acreditar que o processo de infecção seja extremamente simples, e até mesmo automatizado. Uma busca simples dentro do Google já mostra o tamanho do estrago.

Hide yo kids, hide yo wife, because obviously we have an attack in these pages

Por sorte, o JavaScript em si não faz nada de perigoso. O código apenas lança um anti-vírus falso, chamado Windows Stability Center, e só. Na verdade, o anti-vírus falso já é velho conhecido, e se você possui um anti-vírus de verdade atualizado, o acesso já é bloqueado logo no começo. Mas, mesmo que esse ataque seja virtualmente inofensivo, é bom lembrar que pode ser pior. Um hacker mal-intencionado poderia usar essa mesma falha e executar códigos realmente danosos para o usuário.

E, o que é pior: não há nada que o usuário possa fazer nesse caso, já que falhas de segurança em servidores ocorrem por falha dos sysadmins, que por diversos motivos (preguiça, em sua maioria) não se importam de atualizar o software rodando no servidor. Se pararmos para pensar, o SQL Server 2003 já tem por alto uns oito anos de vida, e nada justifica mantê-lo ainda no ar, ainda mais sem atualizações de segurança.

Nessas horas, a dica de sempre é: tome cuidado por onde você navega. E, se você é um sysadmin, sempre mantenha os servidores e serviços atualizados. Os usuários agradecem.

Com informações: Download Squad.

Paulo Graveheart

Ex-redator

Paulo Henrique "Graveheart" é formado em Ciências da Computação e fez parte da equipe do Tecnoblog entre 2010 e 2014, como redator. Participou da cobertura de lançamentos no mundo do desenvolvimento de software, PCs, mobile e games. Também tem experiência profissional como desenvolvedor full-stack e technical lead.