Sentrigo ha colocado un arreglo para una vulnerabilidad en Microsoft SQL Server que revela las claves para cualquiera con privilegios administrativos. La utilidad, llamada Passwordizer, está disponible aquí.
La vulnerabilidad afecta a SQL Server 2000, 2005 y 2008 que corren en todas las plataformas soportadas de Windows que usan el modo de autenticación mixta (modo SQL Server y Windows Authentication).
El peligro yace en el hecho de que los usuarios emplean la misma clave a través de diferentes sistemas, haciéndo posible para un atacante que obtenga la contraseña de SQL Server para acceder a otros sistemas o las cuentas de acceso personal que usan las mismas claves, dice Sentrigo.
Los investigadores de la compañía descubrieron claves personales encriptadas en la memoria de SQL Server cuando accesaron al servidor usando privilegios administrativos. La compañía dice que las mejores prácticas incluso abogan por que los administradores legítimos nunca vean las claves reales. Los hackers que obtuvieran acceso también podrían encontrar las claves, agrega Sentrigo.
Además de las contraseñas, la falla deja las credenciales de aplicaciones en limpio. Sentrigo describe la vulnerabilidad como significativa.
Sentrigo dice que le habló a Microsoft sobre la vulnerabilidad.
-Por Tim Greene
Network World (US)
FRAMINGHAM