Masowa infekcja stron internetowych

[SE7EN]

Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej “infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:

CVE-2010-0840 – Java Trust
CVE-2010-0188 – PDF LibTiff
CVE-2010-0886 – Java SMB
CVE-2006-0003 – IE MDAC
CVE-2010-1885 – HCP

Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.

Aby zapobiec infekcji CERT Polska doradza użytkownikom wyłączenie obsługi JavaScript w przeglądarce do czasu uzyskania nowych informacji o zagrożeniu.

Jeśli posiadasz witrynę pracującą w oparciu o osCommerce, sprawdź, czy nie padła ona ofiarą ataku (np. czy w ramkach iframe nie ma odniesień do nieznanych lub dziwnych witryn).

O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.

Z wynikami wstępnej analizy można zapoznać się na blogu

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Bizon]

A o co chodzi z tymi domniemanymi atakami na Ryjbooku, bo chodzą takie info nawet na naszym forum Ja tam wchodzę tylko z racji konkursiw, więc sorry, jestem słaby w temacie

 

[SE7EN]

Tam pewnie są ataki linkami, czyli trzeba kliknąć na link w wiadomości. Tu sprawa jest bardziej automatyczna, na stronie jest spreparowana ramka iframe która wykorzystując luki w zabezpieczeniach chce załadować złośliwy kod z innego serwera.