Defacement silenziosi per l’installazione di backdoor

Lo scorso Venerdì, Websense, ha riportato che il sito dello stadio Dolphin è stato compromesso inserendo all’interno della home page un link ad un file JavaScript che tenta di installare una backdoor sfruttando due vulnerabilità su Microsoft Windows.

Lo stadio Dolphin avendo ospitato il Super Bowl ha ricevuto, negli scorsi giorni, migliaia di visite.

Il file JS utilizzato dai cracker, sfruttando le vulnerabilità MS06-14 e MS07-004, cerca di eseguire sul sistema w1c.exe (MD5 ad3da9674080a9edbf9e084c10e80516). Il file, come descritto nel bollettino di McAfee, una volta eseguito inizia a comunicare con un host remoto e aspetta risposte da esso. Una volta ricevuto l’ok, installa un nuovo servizio sul sistema dal nome MSMGS.EXE con firma della società camuffata in “Kaspersky Lab”.

Dolphin Super Dowl Defacement

Si pensava ad un attacco mirato ad un sito che avrebbe avuto molte visite in pochi giorni ed invece “l’epidemia” è molto più vasta. ISC segnala, infatti, che sono molti i domini compromessi dall’aggiunta del file JS nelle home page. Molti webmaster dei siti Web colpiti dai cracker hanno rimosso il codice JavaScript malevolo, ma molti altri non sono ancora intervenuti.

La lista dei siti utilizzati dai cracker per ospitare gli script JS sono:

  • w1c.cn (nome file “3.js”)
  • dv521.com (nome file “3.js”)
  • www.natmags.co.uk (nome file “3.js”)
  • bc0.cn (nome file “3.js” e “1.js”)
  • 137wg.com (nome file “1.js”)

E’ consigliato di disabilitare la visione di questi domini via browser inserendoli in blacklist oppure, per amministratori di rete, bloccare tutte le query DNS sui propri server (il modo più veloce è utilizzare il file hosts presente su tutti i SO).

Jeremiah Grossman, noto esperto di sicurezza nelle applicazioni web, propone un nuovo approccio ai browser Web del futuro: Don’t Trust Server-Side Security.  Sono necessarie policy di  protezione, non solo suoi comportamenti dell’utente, ma anche su quelli dei siti web che si stanno visitando.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento