Ostatnio coraz więcej witryn internetowych pada ofiarą zmasowanego ataku i jest wykorzystywanych do rozpowszechniania szkodliwego kodu.
Atak przeprowadzany jest najprawdopodobniej w sposób automatyczny (np. za pomocą skryptów). Wykorzystując SQL Injection na stronach WWW serwisu-ofiary dodawany jest fragment JavaScript, który zawiera złośliwy kod wykorzystujący, najczęściej, luki w aplikacji RealPlayer, do dalszej infekcji klienta odwiedzającego zaatakowaną stronę. Skrypt może także zawierać sam element iframe odwołujący się do stron zewnętrznych, które zawierają złośliwy kod. Zarazić się można więc już poprzez samo otworzenie w przeglądarce internetowej strony WWW. Niestety z obserwacji wielu specjalistów zajmujących się tym problemem wynika, że infekowane są nawet strony rządowe, duże portale tematyczne, strony korporacyjne oraz popularne serwisy społecznościowe. Przez to wielu docelowych użytkowników (zwykłych Internautów) może zostać zarażona w sposób nieświadomy.

Dodatkowo cyberprzestępcy używają technik zaciemniania kodu źródłowego, by „wstrzyknięte” skrypty nie były rozpoznawane przez narzędzia zabezpieczające (np. filtry treści, antywirusy, itd.).

Ponieważ na atak ten podatne są na razie tylko serwery MS-SQL, to prawie wszystkie zainfekowane strony WWW korzystają z oprogramowania IIS (rzadko spotkać można serwer Apache działający pod systemem Windows). Nie oznacza to jednak, że niedługo tego typu atak nie będzie celował także w serwisy wykorzystujące PHP oraz MySQL – najprawdopodobniej jest to tylko kwestią czasu.

Złośliwe oprogramowania, które dostaje się do komputerów użytkowników przeglądających zaatakowane strony, może być bardzo groźne. W ostatnich dniach głośno się zrobiło o rootkicie, który modyfikuje sektor rozruchowy dysku twardego (Master Boot Record), dzięki czemu uruchamia się jeszcze przed startem systemu Windows. Rootkit jest szczególnie niebezpieczny, ponieważ może skutecznie ukrywać inne złośliwe programy, a jego usunięcie jest dosyć skomplikowane.

W tej chwili z powodu zaciemniania kodu JS jedyną metodą ochrony (z punkty użytkownika odwiedzającego zainfekowaną stronę) jest zaprzestanie korzystania przez niego z podatnej aplikacji (w tym przypadku RealPlayer) – przynajmniej do czasu wydania przez producenta niezbędnych poprawek. Jednak w przyszłości wstrzykiwany złośliwy kod JavaScript może także wykorzystywać podatności w innych aplikacjach, nie tylko w odtwarzaczu RealPlayer, ale również np. w samych przeglądarkach internetowych.

Źródło: isc.sans.org, inf. własna

Pod koniec zeszłego tygodnia w oprogramowaniu RealPlayer odkryto groźną lukę, dzięki której atakujący może wykonać w atakowanym komputerze dowolny kod (także ściągnąć malware) lub w najlepszym przypadku doprowadzić do lokalnego ataku typu DoS (zawieszenia programów lub systemu).
Błąd dotyczy biblioteki MPAMedia.dll, która przetwarza nazwy playlist. Do kontrolki ActiveX wykorzystywanej w bibliotece ierpplug.dll – poprzez spreparowany kod HTML i zawarty w niej JavaScipt – jako nazwę playlisty przekazać można dowolny ciąg znaków powodujący przepełnienie bufora i w efekcie przejęcie kontroli. Na atak narażeni są użytkownicy przeglądarki Internet Explorer i odtwarzacza multimedialnego RealPlayer w wersjach 10.x oraz najprawdopodobniej również najnowszej 11 Beta.

Pojawiła już się łata, którą można pobrać ze strony producenta. Można także wyłączyć obsługę kontrolek ActiveX w przeglądarce Internet Explorer.