Zarażono tysiące stron
Ostatnimi czasy odkryto setki tysięcy usług sieci Web, które są zainfekowane szkodliwym oprogramowaniem jednego typu. Wszystkie z nich odwołują się do serwerów zlokalizowanych w Chinach i pobierają stamtąd kod napisany w JavaScripcie, który uruchamia się w przeglądarkach i wyszukuje słabe punkty.
Jeśli browser użytkownika jest podatny na atak, to komputer infekowany jest trojanem. Niebezpieczną zawartość znaleziono nawet na serwerach instytucji rządowych, takich jak Organizacja Narodów Zjednoczonych (un.org) czy w domenie organizacji państwowych Wielkiej Brytanii (.gov.uk).
Zgodnie z analizą przeprowadzoną przez firmę Websense, zauważono w sumie dziewięć usterek, które próbuje wykorzystać exploit, aby przeniknąć do systemu potencjalnej ofiary. Z kolei analitycy z F-Secure zaobserwowali, że napastnicy w celu umieszczenia szkodliwego kodu wyszukują słabe punkty w serwisach posługujących się technologią ASP (strony ASP i ASPX). Typowym scenariuszem ataku jest próba uzyskania nieautoryzowanego dostępu do bazy danych SQL przy użyciu przemyconego zapytania w postaci:
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C004100520045
0020004 [...]
Tak naprawdę po rozwinięciu i zdekodowaniu jego faktyczne instrukcje to:
DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b[...]
W obydwu powyższych przykładach podano tylko początek żądania - całość administratorzy microsoftowych serwerów IIS znaleźć mogą w plikach raportów zdarzeń, jeśli wśród udostępnianych zasobów znajdują się strony ASP lub ASPX. W polskiej przestrzeni WWW wyników tych nie jest jednak wiele, ich liczba nie przekracza trzystu.
Operatorzy serwerów powinni postarać się o narzędzia do automatycznego wykrywania i blokowania usterek w instalacjach usługowych WWW.
