Microsoft SQL Server lekt wachtwoorden
Gepubliceerd: Donderdag 3 september 2009
Auteur: Sander van der Meijs
Een lek in Microsoft SQL Server laat gebruikers met administrator rechten de onversleutelde wachtwoorden zien van andere gebruikers. Microsoft is niet van plan om het lek op korte termijn te dichten.
Het lek zit in SQL Server 2000, 2005 en 2008 op alle Windows platformen. Het is bekendgemaakt door Sentrigo. Een onderzoeker merkte op dat de persoonlijke wachtwoorden duidelijk zichtbaar waren in het geheugen in SQL Server, aldus Slavik Markovich, de CTO van Sentrigo.
Goudmijn aan wachtwoorden
"Het is dan wel alleen mogelijk om deze kwetsbaarheid uit te buiten als je administrator rechten hebt", aldus Markovich, "maar vaak hebben meerdere gebruikers binnen IT-organisaties die rechten. Zelfs als zulke mensen helemaal betrouwbaar zijn, zou het nog niet moeten mogen dat ze de wachtwoorden van anderen kunnen zien. Bovendien bestaat altijd het risico dat een hacker zich die rechten toe-eigent, en dan kan de toegang tot deze gebruikerswachtwoorden de impact van zo'n hack vele malen groter maken."
Naar eigen zeggen heeft Sentrigo eerst het MSRC team van Microsoft op de hoogte gesteld van het lek, maar Microsoft heeft daarna aangegeven dat men niet van plan is om het lek direct aan te pakken. Volgens Sentrigo is het dan in het belang van de hele SQL gemeenschap dat deze kennis gedeeld wordt. Bovendien heeft het bedrijf een tooltje uitgebracht waarmee gebruikers hun wachtwoorden uit het geheugen kunnen wissen.
Bron: Techworld.nl
