09.01.2008 11:39
Wieder groß angelegte Angriffe auf Web-Anwender im Gange [Update]
Erneut haben Kriminelle mehrere zehntausend harmlose Webserver manipuliert, um Besucher der Seiten mit Schadcode zu infizieren. Berichten zufolge sind die Täter dabei ähnlich vorgegangen wie im Juni 2007 bei der Attacke auf mehr als 10.000 europäische, vornehmlich italienische Webserver. Diesmal sollen weltweit neben kommerziellen aber auch zahlreiche Seiten von Behörden mit einem zusätzlichen IFrame ausgestattet worden sein, der von zwei offenbar chinesischen Servern Exploits nachlädt. Die Exploits nutzen eine ältere Lücke im Internet Explorer (MDAC) und wahrscheinlich die bislang ungepatchte Lücke im Real Player aus, um einen Windows-PC mit einem Trojan-Downloader zu infizieren, der weiteren Schadcode nachladen kann.
Die chinesischen Server stehen in den Domains uc8010.com und ucmal.com, eine davon wurde erst am 28. Dezember des vergangenen Jahres registriert. Administratoren sollten den Netzwerkverkehr auf mögliche Verbindungen zu diesen Domains untersuchen oder gleich ganz blocken.
Wie der zusätzliche IFrame in die Webseiten gelangte, ist noch unklar. Bei den vergangenen Attacken via MPack waren meist Massenhacks über fehlerhafte Skripte bei Shared-Webhostern die Ursache, diesmal aber auch die Seiten größerer Firmen wie Computer Associates betroffen, die eigene Server betreiben. Mittlerweile sollen auch MySpace-Seiten den Link zu den Exploits enthalten.
Zu ihrem Schutz sollten Anwender nur mit einer vollständig gepatchten Version des Internet Explorer arbeiten oder einen alternativen Browser nutzen. Zudem sollten Anwender den RealPlayer deinstallieren. Webseitenbetreiber sollten den Quellcode oder das ausgelieferte HTML-Dokument auf Manipulationen hin untersuchen.
Update
Informationen des Internet Storm Centers zufolge laufen so gut wie alle infizierten Webseiten auf Microsofts IIS mit einer MS-SQL-Datenbank. Es wird vermutet, dass ein automatisches Skript über eine SQL-Injection-Schwachstelle in die Datenbank eindringt und dort Inhalte manipuliert, um die bösartigen IFrames in die ausgelieferten HTML-Seiten einzufügen. Eine nähere Analyse der Vorgänge ist im Blog von Modsecurity zu finden.
Siehe dazu auch:
- Massive RealPlayer Exploit Embedded Attack, Analyse von Dancho Danchev
- Kritische Lücke im RealPlayer, Meldung auf heise Security
- Groß angelegter Angriff auf Web-Anwender im Gange, Meldung auf heise Security
- Weitere Details zu Web-Attack-Toolkit MPack, Meldung auf heise Security
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
