Masowe ataki infekują witryny internetowe
Ostatnio coraz więcej witryn internetowych pada ofiarą zmasowanego ataku i jest wykorzystywanych do rozpowszechniania szkodliwego kodu.
Atak przeprowadzany jest najprawdopodobniej w sposób automatyczny (np. za pomocą skryptów). Wykorzystując SQL Injection na stronach WWW serwisu-ofiary dodawany jest fragment JavaScript, który zawiera złośliwy kod wykorzystujący, najczęściej, luki w aplikacji RealPlayer, do dalszej infekcji klienta odwiedzającego zaatakowaną stronę. Skrypt może także zawierać sam element iframe odwołujący się do stron zewnętrznych, które zawierają złośliwy kod. Zarazić się można więc już poprzez samo otworzenie w przeglądarce internetowej strony WWW. Niestety z obserwacji wielu specjalistów zajmujących się tym problemem wynika, że infekowane są nawet strony rządowe, duże portale tematyczne, strony korporacyjne oraz popularne serwisy społecznościowe. Przez to wielu docelowych użytkowników (zwykłych Internautów) może zostać zarażona w sposób nieświadomy.
Dodatkowo cyberprzestępcy używają technik zaciemniania kodu źródłowego, by „wstrzyknięte” skrypty nie były rozpoznawane przez narzędzia zabezpieczające (np. filtry treści, antywirusy, itd.).
Ponieważ na atak ten podatne są na razie tylko serwery MS-SQL, to prawie wszystkie zainfekowane strony WWW korzystają z oprogramowania IIS (rzadko spotkać można serwer Apache działający pod systemem Windows). Nie oznacza to jednak, że niedługo tego typu atak nie będzie celował także w serwisy wykorzystujące PHP oraz MySQL – najprawdopodobniej jest to tylko kwestią czasu.
Złośliwe oprogramowania, które dostaje się do komputerów użytkowników przeglądających zaatakowane strony, może być bardzo groźne. W ostatnich dniach głośno się zrobiło o rootkicie, który modyfikuje sektor rozruchowy dysku twardego (Master Boot Record), dzięki czemu uruchamia się jeszcze przed startem systemu Windows. Rootkit jest szczególnie niebezpieczny, ponieważ może skutecznie ukrywać inne złośliwe programy, a jego usunięcie jest dosyć skomplikowane.
W tej chwili z powodu zaciemniania kodu JS jedyną metodą ochrony (z punkty użytkownika odwiedzającego zainfekowaną stronę) jest zaprzestanie korzystania przez niego z podatnej aplikacji (w tym przypadku RealPlayer) – przynajmniej do czasu wydania przez producenta niezbędnych poprawek. Jednak w przyszłości wstrzykiwany złośliwy kod JavaScript może także wykorzystywać podatności w innych aplikacjach, nie tylko w odtwarzaczu RealPlayer, ale również np. w samych przeglądarkach internetowych.
Źródło: isc.sans.org, inf. własna
Tags: exploit, JavaScript, luka, malware, MBR, PHP, RealPlayer, robak, rootkit, SQL injection, URL injection
