Ostatnio specjaliści zajmujący się bezpieczeństwem w Internecie obserwują rosnącą liczbę e-maili udających newsletter serwisu CNN.com. Są to działania grupy cyberprzestępców, które mają na celu powiększenie botnetu o nazwie „Storm”.

Fałszywe listy zazwyczaj noszą tytuł „CNN.com Daily Top 10” i zawierają dwie listy „TOP 10 VIDEOS” oraz „TOP 10 STORIES”. Autorzy wykazali się sprytem i treść e-maili na początku może nie budzić większych zastrzeżeń. Odnośniki tam zawarte kierują do rzeczywistych wiadomości serwisu cnn.com. Do listów dołączony jest jednak plik html, który – po wczytaniu przez program pocztowy – wygląda jak graficzna wersja newslettera z tą różnicą, że odnośniki prowadzą do niebezpiecznych stron internetowych udających serwis CNN. Tytuły wiadomości są tak wymyślone, aby wzbudzić ciekawość i zachęcić ofiary do kliknięcia w odnośniki.

Gdy nieświadoma ofiara wejdzie na jedną z takich stron, dostaje komunikat, że jego przeglądarka nie może odtworzyć pliku video i aby to naprawić musi pobrać odpowiednią aplikację. Plik nazywa się zazwyczaj „get_flash_update.exe” albo podobnie i w rzeczywistości jest to szkodliwe oprogramowanie (tzw. „malware”). Z komputera, na którym zostanie pomyślnie uruchomiony, tworzy członka (tzw. „zombie”) botnetu Storm.

Liczba stron, które udając serwis CNN serwują złośliwe pliki, jest coraz większa. Znajdują są zazwyczaj na serwerach, na które trafiły w wyniku włamania (często ich administratorzy mogą nie zdawać sobie z tego sprawy).

Należy pamiętać, aby najlepiej nie otwierać podejrzanych wiadomości e-mail ani ich załączników, oraz zwracać uwagę gdzie (na jakie adresy internetowe) prowadzą ewentualne odnośniki. Ponieważ fałszywe strony do serwowania malware’u wykorzystują technologię JavaScript, zalecamy używać dodatków do przeglądarek internetowych, które blokują wykonywanie skryptów (np. NoScript do przeglądarki Firefox). Każdy komputer z systemem Windows podłączony do sieci powinien mieć też zainstalowane aktualne oprogramowanie antywirusowe, oraz zaktualizowany system operacyjny.

Źródło:

inf. własna,

isc.sans.org

Przedwczoraj w sieci pojawił się exploit wykorzystujący błędy w DNS, o których pisaliśmy 9-tego lipca (Błędy w DNS dotyczące większości producentów).
Exploit pojawił się kilka dni po “wycieku” szczegółów błędów odkrytych przez Dana Kaminsky’ego. Większość producentów serwerów DNS udostępniła już poprawki (należy sprawdzić na stronie dostawcy). Dodatkowo (w miarę możliwości) warto ograniczyć dostęp do DNSu tylko do zaufanych klas adresów, wprowadzić zabezpieczenia przed spoofingiem na granicy sieci, oraz wyłączyć rekursywne odpowiedzi na pytania pochodzące z niezaufanych źródeł.

Jeżeli podjęcie powyższych kroków nie jest w tej chwili możliwe, administratorzy powinni co najmniej tymczasowo przekierować zapytania do DNSu, o którym wiadomo, że nie jest podatny (na przykład serwery OpenDNS).

Microsoft opublikował lipcowy biuletyn bezpieczeństwa, w którym zamieścił cztery poprawki o randze “ważna”.
Nowe aktualizacje zabezpieczeń obejmują:

• MS08-037 – usuwa lukę w zabezpieczeniach DNS (Windows)(KB 953230).
• MS08-038 – usuwa luki w zabezpieczeniach systemu Windows (KB 950582).
• MS08-039 – usuwa luki w zabezpieczeniach programu Microsoft Exchange Server (KB 953747).
• MS08-040 – usuwa luki w zabezpieczeniach programów SQL, WYukon i WMSDE (Windows)(KB 941203).