Vergiftete Websites [Update]

Langsam lichtet sich der Nebel um die IFrame-Attacken vom Wochenende. Der Dienstleister Falk eSolutions leitete offenbar Zugriffe auf seine Ad-Server auf einen kompromittierten Server um, sodass diverse, große europäische Web-Server am Samstag ihre Besucher mit einem Trojaner infizierten. Ursache sei ein Angriff auf eine Schwachstelle des Load Balancers vor den Adservern gewesen, erklärt Falk in einer Stellungnahme.

Web-Seiten binden in der Regel Anzeigen nicht direkt in ihren HTML-Code ein, sondern lediglich Verweise auf Ad-Server, die für die Verwaltung der Anzeigen zuständig sind. Sie steuern, wann welche Anzeige wo erscheinen soll, ohne dass dazu Änderungen an den Web-Seiten selbst erforderlich sind. Diese Ad-Server stehen oft extern -- beispielsweise bei größeren Vermarktungsgesellschaften. Die Firma Falk ist einer der großen Hersteller von Software für Ad-Server, betreibt aber auch einen Pool eigener Ad-Server.

Statt Anzeigen von den Falk-Servern luden jedoch aufgrund der Umleitung viele Anwender Samstag von einem gehackten Server Skript- und HTML-Code, der das IFrame-Loch des Internet Explorer ausnutzte und darüber ohne Nachfrage einen Trojaner auf den Systemen der Anwender installierte. Für dieses IFrame-Loch gibt es noch keinen Patch von Microsoft, lediglich in Windows XP mit Service Pack 2 ist der Fehler bereits behoben.

Die Falk AG schätzt, dass diese Umleitung nur bei weniger als zwei Prozent der ausgelieferten Anzeigen erfolgte. Multipliziert man diese Schätzung jedoch mit den Zugriffszahlen von betroffenen Sites wie The Register, wird schnell klar, dass der IFrame-Exploit wahrscheinlich an tausende von Anwendern ausgeliefert wurde. Der Vorfall könnte die Falk AG teuer zu stehen kommen. The Register verzichtet momentan auf weitere Dienste von Falk und erscheint derzeit ohne Anzeigen; einige der Betroffenen erwägen deftige Schadensersatzklagen.

Die Falk AG scheint jedoch keineswegs die einzige Firma zu sein, deren Ad-Server gehackt wurden. Die Sicherheitsfirma LURHQ führt in ihrer Analyse mindestens zwei weitere Ad-Server auf, die über diverse Umwege letztlich IFrame-Exploits ausliefern.

Update:
Seit heute morgen liefert The Register wieder Anzeigen über die Falk-Server aus. Die Betreiber schätzen, dass der IFrame-Exploit über tausend Mal ausgeliefert wurde, sehen aber keine Möglichkeit, festzustellen, wieviele Anwender sich damit infiziert haben. Neben der englischen Newssite waren jedoch auch einige große deutsche Web-Sites betroffen, die Falks AdSolution Global nutzen. (ju)