Крупнейший голландский новостной сайт NU.nl был заражен через систему размещения рекламы Falk eSolutions
В выходные, пришедшиеся на 20 и 21 ноября, баннеры многих популярных европейских Web-сайтов несли в себе угрозу заражения одной из разновидностей червя Bofra.
Злоумышленники использовали незаделанную брешь в Internet Explorer 6, которая связана с обработкой тэга IFRAME. Наличие этого недочета подтверждено для ПК под управлением Windows XP с установленным пакетом обновлений Service Pack 1 и Windows 2000. Соответствующее предупреждение было опубликовано в воскресенье 21 ноября на Web-сайте SANS. При этом в Windows XP пакет обновлений Service Pack 2 устраняет этот изъян.
Пользуясь этой брешью, злоумышленники могли полностью взять под свой контроль компьютер пользователя.
По информации британского новостного Web-сайта The Register, в числе пострадавших оказалась компания Falk. Сайт рекомендовал пользователям проверить свои машины антивирусными средствами, а владельцам Windows XP — установить SP2. На сайте также давался совет пользоваться другими браузерами, хотя бы до тех пор, пока Microsoft не устранит эту брешь.
Пострадали также несколько сайтов в Швеции и Голландии, где крупнейший новостной сайт NU.nl, число обращений к которому насчитывает ежедневно 450 тыс., был заражен через систему размещения рекламы Falk eSolutions. Собственно, он и послужил источником распространения кода червя сайта.
Рекламные кнопки на сайтах использовались для установки и исполнения вредоносного кода. Запросы пользователей перенаправлялись через серверы Falk на адрес search.comedycentral.com, где и находился этот код.
В Falk отрицают, что система размещения рекламы компании подверглась нападению хакеров. По их утверждениям, код распространялся системой балансировки нагрузки и регламентации Web-трафика. Модифицированная хакерами система балансировки перенаправляла обращения к системе размещения рекламы Falk на вредоносные Web-сайты.
«Мы проанализировали HTML-код, включавший в себя код использования изъяна IE, который рассылался с серверов Falk, и пришли к выводу, что хакеры либо модифицировали систему распределения рекламы, либо нашли иной способ распространять свой вредоносный код через эту компанию. Возможно, код был замаскирован под легитимную рекламу, после чего система Falk выполнила его», — сказал Джой Стюарт, ведущий исследователь в области безопасности компании LURHQ.
Если злоумышленники смогли модифицировать такие Web-сайты, как comedycentral.com, нет оснований полагать, что они не смогли проникнуть на сайт Falk.
Впрочем, без дополнительной информации от самой Falk или других компаний, подвергшихся атаке, установить точную картину происшедшего будет невозможно.
Проблема заключается в том, как IE обрабатывает Web-страницы с длинными строками символов, помеченными HTML-тэгом IFRAME. При этом злоумышленники могут создать ситуацию переполнения буфера и выполнить свой код на уязвимых машинах. Атаки «на IFRAME» могут быть предприняты также с помощью программ поддержки электронной почты Outlook и Outlook Express. При этом пользователи не получат предупреждения, что их системы стали объектом нападения.
Microsoft собирается подготовить заплату, устраняющую изъян IE IFRAME, для пользователей, которые не установили SP2. Впрочем, уже выпущено несколько «неофициальных» заплат. Так, одна немецкая компания разместила свою разработку на сайте cherryware.de.
Атака, которой подверглась служба Falk, похожа по стилю на атаку совершенную в июне группой хакеров hangUP team, имеющей, как сообщают, российские корни. Тогда злоумышленники использовали изъян в реализации SSL (сейчас он устранен) для заражения компьютеров под управлением Windows 2000.
За счет двух уязвимых мест в Windows и Internet Explorer браузер можно было заставить исполнять вредоносный код, распространявшийся с серверов IIS, на машинах, пользователи которых посещали зараженный сайт. Код перенаправлял пользователей на сайты, контролируемые хакерами. С них загружался «троянец», позволявший фиксировать нажатия на клавиши или считывать частную информацию.
Эта и ряд других атак заставляют обратить внимание на «чувствительные точки» Сети — Web-сайты с большим числом обращений, которые считаются надежными поставщиками контента для тысяч и даже миллионов других сайтов.