Gegen den Verdacht, Fehler in seinem SQL-Server und Internet Information Server (IIS) hätten eine neue Welle von Cyber-Attacken ermöglicht, hat sich Microsoft zur Wehr gesetzt.

Cyber-Kriminellen ist es gelungen, eine große Zahl von Web-Seiten von renommierten Firmen und öffentlichen Einrichtungen mithilfe von SQL-Injection zu kompromittieren. Das U.S. CERT (Computer Emergency Readiness Team) gab Ende vergangener Woche eine entsprechende Warnung heraus.

Auch Web-Seiten der Vereinten Nationen und der amerikanischen Heimatschutzbehörde (U. S. Department of Homeland Security) sind betroffen. Die Sicherheitsfirma F-Secure gab am vergangenen Freitag die Zahl der infizierten Sites mit 510.000 an.

Das Internet Storm Center des SANS Institute dagegen spricht von gerade einmal 10.000 Servern, die befallen worden seien. Das kann allerdings auf erste Gegenmaßnahmen zurückzuführen sein. So nahm Google etliche der infizierten Seiten von seinem Index und erschwerte damit den Zugriff darauf.

Mittels SQL-Injection können Angreifer eine Anwendungsdatenbank zu bringen, eigene Befehle auszuführen. Die Web-Seiten wurden mit Javascript-Code infiziert, der wiederum bekannte Schwachstellen in Programmen wie Web-Browsern oder Multimedia-Software ausnutzt.

Wer von einem nicht gepatchten Rechner aus eine solche Seite aufruft, läuft Gefahr, Schadsoftware auf sein System herunterzuladen.

Schlampige Programmierung als Einfallstor

Zu den üblichen Verdächtigen, wenn es um Sicherheitslöcher geht, zählt Microsoft. Der Software-Hersteller stellte denn auch umgehend klar, dass seine Produkte SQL-Server und IIS an den Vorkommnissen unschuldig sind.

Microsoft-Mitarbeiter Bill Sisks schreibt in einem Blog-Beitrag, dass Schlampigkeiten beim Programmieren von Code die Ursache für die Probleme seien. Die Attacken seien nicht durch neue oder nicht bekannte Schwachstellen in Microsoft-Software ermöglicht worden. Fazit: Eine saubere Programmierung hätte den Vorfall verhindert.

Das U.S. CERT empfiehlt Internet-Nutzern, die auf Nummer sicher gehen möchten, Javascript und ActiveX auf ihren Rechnern zu deaktivieren. Viele (Web-)Anwendungen nutzen jedoch diese Skriptsprache und ActiveX-Controls. Daher ist eine Deaktivierung bestenfalls ein »Work-around«.