Благодаря информации от F-Secure, в последние дни несколько сотен тысяч серверов с установленными IIS повредились от SQL injection, после чего на сайтах появляются коды на JavaScript, в следствии чего пользователей приводит на сайты, где обитают многочисленные трояны. Некоторые из них уже опознаны – aspder.com, nmidahena.com и nihaorr1.com, целесообразно заблокировать доступ к ним. Google находит больше полумиллиона модифицированных подобным образом страниц. Пока не всё ясно, проблема исходит от какого-либо стандартного скрипта, либо причина в какой-то новой уязвимости IIS.

Первые новости об уязвимости пришли на форумы 17 апреля, через день Microsoft выпустила советы о блокировке атак с использованием предполагаемой уязвимости, способствующей повышения привилегий аутентифицированного пользователя вплоть до LocalSustem. Кстати, среди пострадавших сайтов назван русский aeroflot.ru, что и подтвердилось. Поиски по zone.ru вообще дают много любопытных результатов. Попали под раздачу также и сайты ООН, американского министерства по безопасности и многие другие.

Особенности данного SQL injection заключаются в том, что оно передаётся на сервера в виде вызова функций CAST с параметрами в виде части 16-ричного кода, который потом конвертируется в строку, получая при выходе sql-запрос, что делает более сложным его обнаружение и фильтрацию. Далее идёт попытка внедриться в каждое текстовое поле любой таблицы, за счёт чего в дальнейшем заражённые сайты легче искать в гугле, обычно портится и поле, которое используется для формирования заголовка страниц.