Złośliwy kod na bezpiecznych stronach

Pisaliśmy niedawno o nowych groźnych lukach, na które narażeni są użytkownicy Microsoft Internet Explorera. Okazało się, że znaleziono sposób, by złośliwy kod wykorzystujący te luki umieszczać nie tylko na stronach przygotowanych przez atakującego, ale również w zwykłych serwisach WWW, które możemy odwiedzać na co dzień.

Exploit wykryto na kilku stronach, należących do uznanych i zaufanych serwisów. Kod doklejany jest do każdego dokumentu przesyłanego do klienta przez serwer, a problem dotyczy wyłącznie serwerów opartych o Microsoft IIS. Najprawdopodobniej do umieszczenia kodu wykorzystywana jest jedna z luk w tym oprogramowaniu. W tej chwili nie jest jasne, czy była ona znana wcześniej i czy istnieje na nią łata.

Kod umieszczany na serwerze wykorzystuje odkryte niedawno luki w przeglądarce Internet Explorer do pobrania i zainstalowania konia trojanskiego, zawierającego funkcję logowania naciśnięć klawiszy oraz otwierającego furtkę, która daje atakującemu dostęp do maszyny użytkownika. Najbardziej prawdopodobnym zastosowaniem trojana jest budowanie sieci botów do rozsyłania spamu. Mimo, że o wspomnianych lukach w IE wiadomo od ponad dwóch tygodni, nadal nie są dostępne łaty na nie. Jedynym pewnym zabezpieczeniem dla użytkowników systemu Windows jest skorzystanie z alternatywnej dla IE przeglądarki, np. Mozilli czy Opery.

Microsoft: What You Should Know About Download.Ject

CNET: Corporate Web servers infecting visitors’ PCs
Źródło informacji: CERT Polska

Zobacz również:

Zagrożenie dla IIS zostało określone