„Microsoft“ korporacija nėra kalta dėl masinio interneto puslapių, veikiančių „Windows“ ir „SQL Server“ platformoje, nulaužimo.
Praėjusią savaitę „Websense“ ir antivirusų gamintojas „F-Secure“, nepriklausomai vienas nuo kito paskelbė apie beveik 500 tūkst. svetainių, veikiančių „Microsoft“ programinės įrangos pagrindu nulaužimą. Tarp nulaužtų svetainių buvo ir valstybinių institucijų, JT struktūrų bei kitų svarbių svetainių.
„Microsoft Security Response Center“ interneto dienoraštyje rašoma: „Mūsų turimas parodė, kad produktuose nėra naujų ar nežinomų pažeidžiamumų, kurie galėjo būti panaudoti įsilaužėlių. Masinio nulaužimo banga - tai nėra skylių „Internet Information Services“ ar „Microsoft SQL Server“ pasekmė.“
Ataką aptikę analitikai pažymėjo, kad visais atvejais hakeriams talkino automatinis scenarijus, atliekantis pažeidžiamų svetainių paiešką bei jose išnaudojo konkrečią spragą. Nulaužtose svetainėse įsilaužimo algoritmas buvo identiškas, o įterpiami trojos arkliai irgi nesiskyrė. „F-Secure“ duomenimis, hakeriai naudojo taip vadinamą SQL injekcijų taktiką, leidžiančią apeiti galiojančius privilegijų paskirstymo apribojimus ir įterpti į duomenų bazę bet kokį tekstą ar kodą.
