Geçtiğimiz Pazartesi günü Microsoft SQL Server veritabanı uygulamasına yönelik yeni bir sıfırıncı gün açığı tespit ettiklerini duyuran bir uyarı bülteni yayınladı. Söz konusu uyarı bu ay içerisinde Microsoft’tan gelen ikinci sıfırıncı gün açık alarm uyarısı.
Bu yeni yayınlanan açık, saldırının bulaştığı sunucularda uzaktan kod çalıştırmaya imkan tanıyor ve kullanıcılar için bir risk oluşturuyor. Ancak SQL açığı çok rahatlıkla istismar edilebilecek bir açık değil zira saldırıda bulunan kimsenin konak konumundaki sisteme önceden giriş erişimi olmasını gerektirmekte.
Microsoft’un güvenlik yanıtları iletişim müdürü Bill Sisk verdiği bir demeçte “Bu açıktan başarılı bir biçimde yararlanabilmek için saldırganın sistemde yerel veya uzaktan yetkilendirilmiş bir kullanıcı olması gerekmekte,” diyor. “Ancak eğer bir saldırgan zaten çoktan SQL enjeksiyonu yöntemi ile bir Web sunucusuna sızmışsa işte bu durumda söz konusu SQL açığını yetkisiz bir kullanıcı olarak da istismar edebilir.”
Yeni gündeme gelen bu sıfırıncı-gün SQL açığı şu anda desteklenmekte olan tüm Microsoft SQL Server versiyonlarını etkileyebilme düzeyinde olmadığı için sınırlı bir açık olarak dikkat çekiyor. Microsoft’a göre söz konusu saldırı ihtimaline açık olan sürümler şunlar: Microsoft SQL Server 2000, Microsoft SQL Server 2005, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2000 Desktop Engine (WMSDE), ve Windows Internal Database (WYukon). Bu sürümlerden daha yeni piyasaya çıkan Microsoft SQL Server 2008 ve Microsoft SQL Server 7.0’ın Service Pack 4 içeren versiyonları risk altında değiller.
Microsoft yayınladığı uyarı bülteninde, SQL açığını istismar etmeye yönelik olarak yazılan kodun Internet’te şimdiden yayınlanmış olduğuna dikkat çekti. Ancak firma söz konusu kodu kullanmakta olan aktif saldırılar olup olmadığı hakkında bir bilgileri olmadığını da açıklamaya eklediler.
Söz konusu saldırının kaynağında yer alan tehdit “sp_replwritetovarbin” adı verilen genişletilmiş bir Microsoft SQL depo prosedüründeki geçersiz bir parametre kontrolünden geliyor.
Internet Storm Center yazarlarından Patrick Nolan’ın yazdığı bir blog yazısına göre SQL açığı Microsoft’a ilk olarak Nisan ayında bildirilmiş.
Microsoft sözcülerinden birisi InternetNews.com’a verdiği demeçte “Microsoft bu açık ile ilgili olarak güvenlik araştırmacılarının ilk başvurularıyla birlikte Nisan ayında bir soruşturma başlatmıştı,” diyor. Söz konusu sözcü “Nisan ayında bize gelen ihbar üzerine hemen bir soruşturmaya başladık ve o zamandan beri konu üzerinde çalışmamız sürmektedir, ” açıklamasında bulundu.
Her ne kadar Microsoft yayınladığı uyarı bülteninde müşterilerini korumak adına henüz açıklanmayan uygun bir önlemi uygulamaya koyacaklarını açıklamış olsa da şu ana dek bu SQL açığı için herhangi bir yama yayınlanmamış durumda.
Microsoft’un alacağı önlem Ocak ayında yapılacak olan Microsoft’un aylık olağan Salı Günü Yamaları (Patch Tuesday) arasında yapılacak bir güncelleme olabileceği gibi klasik döngü dışında yayınlanacak bir yama da olabilir.
Microsoft, Internet Explorer Web tarayıcısında oluşan bir sıfırıncı-gün saldırı açığı karşısında geçtiğimiz hafta klasik yama döngüsünün dışında bir yama yayınlamıştı. Sıfırıncı-gün IE açığı Microsoft’un Aralık ayındaki Salı Günü Yamaları’nda ise tıpkı SQL Server güncellemeleri gibi gözden kaçan bir konu olmuştu.
Yıllardır SANS Enstitüsü ve güvenlik endüstrisindeki diğer firmalar sıfırıncı gün saldırılarında (zero-day attacks) bir yükseliş olduğu konusunda uyarılar yapmaktaydılar. 2007 içinse SANS’ın sıfırıncı gün saldırılarında bir düşüş yaşandığını rapor etmesi ile bu mesaj biraz değişikliğe uğramıştı. Konu hakkındaki makaleyi SANS: Sıfırıncı gün saldırları düşüşte başlığını tıklayarak okuyabilirsiniz.
Kaynak : 