Roma – Ha catalizzato l’attenzione degli esperti internazionali di sicurezza l’attacco che, lo scorso venerdì, ha fatto leva su di una vulnerabilità presente in alcuni siti Web per diffondere alcuni codici malevoli sui PC degli utenti.
L’attacco, a cui Microsoft ha dedicato un comunicato e un bollettino di sicurezza , viene imputato ad un gruppo di cracker russi che, sfruttando una vulnerabilità di Internet Information Services (IIS) 5 corretta da Microsoft lo scorso aprile (si veda bollettino MS04-011 )), avrebbe compromesso la sicurezza di centinaia, forse migliaia di siti Web: tra questi, secondo quanto riportato da Symantec , vi sarebbero un sito d’aste on-line, un motore di ricerca, un sito per la comparazione dei prezzi e alcune banche.
I server compromessi, su cui Symantec ha verificato la presenza di un cavallo di Troia chiamato Scob , inviano ai PC dei visitatori del codice JavaScript malevolo allegato a immagini, documenti o altri file scaricabili: tale codice è in grado, sfruttando due falle di Windows, di ridirigere gli utenti verso un sito Web russo e scaricare in automatico una serie di programmi malevoli tra cui un keylogger, capace di registrare tutti i tasti battuti dall’utente.
Con questo attacco, chiamato da Microsoft Download.Ject, gli ignoti cracker potevano prendere il pieno controllo dei PC compromessi, utilizzarli come teste di ponte per lanciare attacchi di varia natura o spam, e sottrarre agli utenti dati sensibili come password e numeri di carte di credito. Il SANS Institute , che ha fatto notare come l’indirizzo IP del server russo appartenga a quello di un noto gruppo di spammer, ha ipotizzato che l’obiettivo dell’aggressione fosse proprio quella di creare un network di PC zombie per la distribuzione di massicce quantità di spam.
La portata dell’attacco è stata limitata dalla chiusura, a poche ore dalla segnalazione delle prime infezioni, del sito russo e di alcuni indirizzi nordamericani. Nonostante questo, alcuni esperti stimano che gli utenti infettati dal codice malevolo possano essere diverse migliaia: all’espansione del contagio avrebbe contribuito, secondo il CERT , il fatto che fra i siti manomessi – di cui non sono state diffuse le identità – ve ne sarebbero alcuni molto noti e trafficati.
Come si è detto, l’attacco sfrutta due vulnerabilità di Windows: la prima, che riguarda Outlook Express, è stata corretta dal big di Redmond con il rilascio del bollettino MS04-013 ; la seconda, scoperta la scorsa settimana, interessa invece Internet Explorer e, al momento, è ancora senza patch. Quest’ultima falla, di tipo cross zone scripting, può consentire ad un aggressore di aggirare le restrizioni di sicurezza del browser di Microsoft per riversare sul computer della vittima programmi malevoli.
Sono esenti da questi problemi gli utenti che utilizzano un browser differente da IE o abbiano installato la Release Candidate 2 del Service Pack 2 per Windows XP.
Se per fermare l’attacco lato server è sufficiente installare la patch per IIS 5, Microsoft ha spiegato che lato client è necessario affiancare alle ultime patch critiche un firewall personale e un antivirus aggiornato. Il CERT suggerisce anche di disabilitare l’esecuzione degli script, anche se ciò potrebbe inficiare l’apparenza o la funzionalità di alcuni siti.
Il modo più semplice per sapere se un PC è stato infettato è cercare la presenza dei file Kk32.dll e/o Surf.dat : se presenti, Microsoft suggerisce di eliminare il codice malevolo servendosi di un antivirus aggiornato.
Sebbene i danni causati dall’attacco Download.Ject non siano neppure confrontabili con quelli seguiti alle epidemie di worm come Sasser e Blaster, gli esperti temono che questo tipo di minacce possa costituire in breve tempo un pericolo molto serio: ai cracker basterebbe infatti attaccare con successo uno fra i primi cento siti più visitati al mondo per infettare in breve tempo migliaia di PC e utilizzarli, ad esempio, per spedire tonnellate di e-mail pubblicitarie.
Ti potrebbe interessare
28 giu 2004