Microsoft ziet ernst in van SQL Server-lek

Het lek werd eerder deze maand al naar buiten gebracht door beveiligingsexperts van het Oostenrijkse SEC Consult. Microsoft reageerde toen nog laconiek. Het gevaar zou minimaal zijn en aanvalscode zou bovendien nog niet in het wild zijn opgedoken.

Nu onderkent Microsoft echter dat de bug kan worden gebruikt om op afstand code uit te voeren en dat aanvalscode inmiddels is opgedoken op internet. Volgens de softwarereus is deze code echter nog niet gebruikt voor een daadwerkelijke aanval. Om een aanval te laten slagen, zal een aanvaller zich bovendien moeten authenticeren, of gebruik moeten maken van een webapplicatie die kwetsbaar is voor SQL-injectie.

De bug schuilt in de procedure genaamd 'sp_replwritetovarbin' die door de SQL Server-software wordt gebruikt om databasetransacties te repliceren. Hackers kunnen de bug misbruiken om ongeautoriseerde software te draaien op systemen met SQL Server 2000 of SQL Server 2005. Gebruikers van de SQL Server 2000 Desktop Engine of SQL Server 2005 Express lopen onder sommige omstandigheden eveneens gevaar, zo laat Microsoft in zijn beveiligingsadvies weten. Microsoft SQL Server 2005 met Service Pack 3 en Microsoft SQL Server 2008 zouden niet getroffen zijn.

In het beveiligingsadvies biedt Microsoft enkele tijdelijke oplossingen om te voorkomen dat aanvallers de bug misbruiken. Een definitieve patch volgt op 13 januari als onderdeel van de eerste Patch Tuesday van het nieuwe jaar.

Volgens Microsoft is er dus geen noodzaak om een noodpatch beschikbaar te stellen. Een dergelijke stap werd vorige week woensdag wel genomen voor een ernstig lek in Internet Explorer.