Microsoft alerta sobre un fallo serio de seguridad en SQL

El fabricante alertó sobre este agujero –serio- en su software de base de datos SQL el lunes a última hora, sólo unos días después de cubrir un agujero crítico en el navegador Internet Explorer con un parche de emergencia. El código que explota la brecha ha sido ya publicado en la Web, aunque Microsoft asegura no haberlo visto utilizado hasta ahora en ningún ataque online.

Para atacar servidores de bases de datos SQL Server aprovechando la vulnerabilidad, los hackers deben encontrar alguna manera de entrar en el sistema. Un proceso en el que las aplicaciones Web que padecen de brechas de inyección SQL relativamente comunes pueden servir de plataformas para alcanzar las bases de datos de back-end de las empresas.

El fallo está relacionado con un procedimiento almacenado llamado “sp_replwritetovarbin” que el software de Microsoft utiliza cuando replica transacciones de bases de datos. Fue revelado públicamente por primera vez el 9 de diciembre, por SEC Consult Vulnerability Lab. Esta organización asegura haber notificado el problema a Microsoft en abril.