lunes, abril 30, 2007

Defacement en Microsoft.com

La historia comienza con un mensaje de Sirw2p que me envía un defacement de una web en la que han puesto la famosa foto de Bill Gates recibiendo el tartazo, pero no me fijo en el sitio que había sido atacado.

Cuando a la mañana siguiente voy a publicar el post diario en el blog decido poner el link a la lista de sitios defaceados en Zone-h y veo que el mismo hacker tiene uno a las 09:27 (GMT de la web de Zone-h), pero cuando me fijo veo el dominio, “Microsoft.com”.

Lista de sitios defaceados en Zone-h

Hago clic para ir a ver el sitio y efectivamente el sitio está defaceado. Han conseguido meter un valor en la lista select que carga una capa por encima con la foto, así que guardé el archivo modificado para que vierais el código.

Inyección del defacement en el código fuente

El resultado del defacement era este:

Sitio ieak.microsoft.com con defacement

Al rato apareció una noticia en SANS alertando del hecho y confirmando que el equipo de desarrollo del código vulnerable de la página atacada era de una tercera empresa.

Por el momento el sito está caido mientras se arregla el fallo en el código.

Sirva este ejemplo para recalcar el mensaje que llevamos tiempo voceando, las webs están fatal programadas y pocas son aquellas que no tienen fallos de seguridad. Por favor, auditarlas antes de ponerlas en producción.

Démonos TODOS por avisados.

7 comentarios:

Anónimo dijo...

Lo peor es que ese sitio (aunque nunca hay que fiarse de las cabeceras) parecía funcionar con IIS 5.0, a estas alturas desfasadísimo.

Anónimo dijo...

Sí, viejo conocido Cib3r ( el mismo que juackeo a zone-h ) según me comento por msn le aplico SQL INYECCTION.. y como no en vez de reparar la pagina pongamosle un 404....

Anónimo dijo...

A mi lo que me parece increible es que si Microsoft confió en una empresa para alojar un sitio web como en este caso no se haya preocupado de la seguridad que esta ofrecía.

P.D. Ya tengo Blog :P

Un saludo.

Chema Alonso dijo...

Hola Ramon, IIS 5.0 y ASP. Desfasadísimo. El volumen de curro con las aplicaciones Web Pre-TCI es tal que llevan auditandolas un montón de tiempo, pero aún les queda una jartá. Pero... nadie dijo que la informática fuera sencilla. ;)

SirW2p, buenos conocidos tienes por ahí....

Andrés, suerte con tu blog!. Yo creo que la web está alojada en la red de Spectra, pero que el desarrollo es externo.

Anónimo dijo...

Sigo este blog desde hace poco, desde que fui a una conferencia sobre seguridad de J.L. Rambla. Bueno, a qué viene esto, pues que me gustaría saber por dónde empezar en la seguridad de páginas web, mmm me da un poco de cosa hacer esta pregunta por las respuestas tipo: www.google.com o busca, me parece bien, pero si alguien es más conciso, algún enlace etc.. se lo agradeceré.
Gracias por adelantado. Sois la polla.

Chema Alonso dijo...

Hola Mike,

no te preocupes, empezaré a poner información para eso en el blog durante este mes.

Dont worry, y si quieres algo presencial Mirate los Hands On Lab que está bien (sobre todo los de Juan Luís) ;)

Gracias por tu comentario!

Anónimo dijo...

Gracias!
Esque ya ves, ingeniero informático y ni puta idea de seguridad, con lo bonito que es. En la carrera no dan NADA, la educación es una mierda. En fin, si quisiera dedicarme a la seguridad en el mundo laboral, ¿debería hacer un máster? (mucha pasta), ¿sacar certificados? (algunos sin reconocimiento en España). ¿Qué hacer?
Gracias de nuevo!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares