Wieder groß angelegte Angriffe auf Web-Anwender im Gange [Update]
Erneut haben Kriminelle mehrere zehntausend Webserver manipuliert, um Besucher der Seiten mit Schadcode zu infizieren. Dazu nutzen sie eine ältere Lücke im Internet Explorer und wahrscheinlich die bislang ungepatchte Lücke im Real Player aus.
- Daniel Bachfeld
Erneut haben Kriminelle mehrere zehntausend harmlose Webserver manipuliert, um Besucher der Seiten mit Schadcode zu infizieren. Berichten zufolge sind die Täter dabei ähnlich vorgegangen wie im Juni 2007 bei der Attacke auf mehr als 10.000 europäische, vornehmlich italienische Webserver. Diesmal sollen weltweit neben kommerziellen aber auch zahlreiche Seiten von Behörden mit einem zusätzlichen IFrame ausgestattet worden sein, der von zwei offenbar chinesischen Servern Exploits nachlädt. Die Exploits nutzen eine ältere Lücke im Internet Explorer (MDAC) und wahrscheinlich die bislang ungepatchte Lücke im Real Player aus, um einen Windows-PC mit einem Trojan-Downloader zu infizieren, der weiteren Schadcode nachladen kann.
Die chinesischen Server stehen in den Domains uc8010.com und ucmal.com, eine davon wurde erst am 28. Dezember des vergangenen Jahres registriert. Administratoren sollten den Netzwerkverkehr auf mögliche Verbindungen zu diesen Domains untersuchen oder gleich ganz blocken.
Wie der zusätzliche IFrame in die Webseiten gelangte, ist noch unklar. Bei den vergangenen Attacken via MPack waren meist Massenhacks über fehlerhafte Skripte bei Shared-Webhostern die Ursache, diesmal aber auch die Seiten größerer Firmen wie Computer Associates betroffen, die eigene Server betreiben. Mittlerweile sollen auch MySpace-Seiten den Link zu den Exploits enthalten.
Zu ihrem Schutz sollten Anwender nur mit einer vollständig gepatchten Version des Internet Explorer arbeiten oder einen alternativen Browser nutzen. Zudem sollten Anwender den RealPlayer deinstallieren. Webseitenbetreiber sollten den Quellcode oder das ausgelieferte HTML-Dokument auf Manipulationen hin untersuchen.
Update
Informationen des Internet Storm Centers zufolge laufen so gut wie alle infizierten Webseiten auf Microsofts IIS mit einer MS-SQL-Datenbank. Es wird vermutet, dass ein automatisches Skript über eine SQL-Injection-Schwachstelle in die Datenbank eindringt und dort Inhalte manipuliert, um die bösartigen IFrames in die ausgelieferten HTML-Seiten einzufügen. Eine nähere Analyse der Vorgänge ist im Blog von Modsecurity zu finden.
Siehe dazu auch:
- Massive RealPlayer Exploit Embedded Attack, Analyse von Dancho Danchev
- Kritische Lücke im RealPlayer, Meldung auf heise Security
- Groß angelegter Angriff auf Web-Anwender im Gange, Meldung auf heise Security
- Weitere Details zu Web-Attack-Toolkit MPack, Meldung auf heise Security
(dab)
