Craccati, Web host diffondono exploit VML

Ignoti hanno messo KO le difese di alcune società di web hosting americane sfruttando una falla nel software cpanel e installando su centinaia di siti un exploit della falla VML di Internet Explorer

Boca Raton (USA) – Sfruttando una vulnerabilità in cpanel , noto tool grafico web-based per la gestione dei siti web, alcuni cracker sono riusciti a compromettere i server di HostGator , una società americana che gestisce in hosting circa 600.000 domini.

Gli aggressori hanno approfittato della falla per accedere a circa 200 siti web e installarvi, all’insaputa dei proprietari, uno script iframe in grado di sfruttare la recente vulnerabilità VML di Internet Explorer per installare sui PC dei visitatori vari tipi di malware.

Il proprietario di HostGator, Brent Oxley, ha spiegato che l’attacco ha coinvolto almeno altre tre società di web hosting statunitensi: ciò significa che i cracker potrebbero aver guadagnato l’accesso a diverse centinaia, se non addirittura migliaia, di siti web. Da qui ad aver infettato un numero elevatissimo di utenti il passo è breve.

Secondo Roger Thompson, CTO di della società di sicurezza Exploit Prevention Labs , il risvolto più grave dell’attacco è stata la diffusione di spyware e cavalli di Troia attraverso la vulnerabilità zero-day di IE: il fatto che non esista ancora una patch ufficiale, metterebbe infatti a rischio un numero potenzialmente elevato di utenti Windows.

Il bug di cpanel è invece stato corretto nelle scorse settimane, ma a quanto pare gli aggressori hanno preso il controllo di HostGator prima che il problema fosse risolto. Non è dunque da escludere, secondo gli esperti, la possibilità che là fuori vi siano altri siti di web hosting ancora sotto il controllo di malintenzionati .

Il rapido diffondersi di siti web che fanno leva sul buco di IE per propagare, spesso a fini di lucro, malware d’ogni genere, sta mettendo sempre più sotto pressione Microsoft . Uno sviluppatore dell’azienda ha affermato che “in Microsoft si sta lavorando ventiquattr’ore su ventiquattro alla patch”, patch che attualmente si trova in fase di testing . A questo punto sembra ormai certo che Microsoft rilascerà l’update prima della pubblicazione dei suoi bollettini mensili di sicurezza, prevista per il 10 ottobre. Nel frattempo gli utenti di IE possono proteggersi adottando le misure di sicurezza descritte nell’ advisory di Microsoft o installando questa patch non ufficiale .

Update (ore 9,50) – Microsoft ha pubblicato nelle scorse ore la patch per il bug VML. Si veda questa flash .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Ubu re scrive:
    W3.org e quello relativo italiano
    Li trovo così faticosi da leggere e scomodi per trovare i contenuti!Forse mi dovrei dotare di un reader per ipovedenti.A parte questo, noto dall'immensa affluenza di post che l'accessibilità del web è molto sentita dai webmaster.
    • Anonimo scrive:
      Re: W3.org e quello relativo italiano
      - Scritto da: Ubu re

      A parte questo, noto dall'immensa affluenza di
      post che l'accessibilità del web è molto sentita
      dai
      webmaster.
      Forse perchè negli ultimi mesi/anni se ne è parlato troppo?Forse i soldi pubblici per realizzare siti web accessibili sono finiti?Perchè ad un libero professionista (o dipendente) si vorrebbe imporre di svolgere il suo lavoro in un modo piuttosto che in un altro?Tutto sommato una persona che sviluppa un sito web dovrebbe essere libero di svilupparlo come meglio crede, senza interferenze. Nel caso di un impianto elettrico ci sono delle norme da rispettare ma perchè le vogliamo imporre in un sito web?Le discussioni fiume sulla necessità di siti accessibili mi è sembrata tanto come la guerra di bush contro i talebani per esportare la democrazia. Non è possibile esportare la democrazia con la forza!!!In questo mondo dell'informazione, uno standard emerge solo e se lo merita.Mi spiace per le tue idee ma probabilmente la bolla di sapone dell'accessibilità a tutti i costi è già scoppiata.Fermo restando che chi desidera fare siti accessibili può continuare a farlo (perchè no?) dal momento che può contare su molti più utenti potenziali (dal momento che i siti accessibili sono in percentuali irrisorie).Albert1
      • Ubu re scrive:
        Re: W3.org e quello relativo italiano
        - Scritto da:

        - Scritto da: Ubu re



        A parte questo, noto dall'immensa affluenza di

        post che l'accessibilità del web è molto sentita

        dai

        webmaster.


        Forse perchè negli ultimi mesi/anni se ne è
        parlato
        troppo?
        Forse i soldi pubblici per realizzare siti web
        accessibili sono
        finiti?Guarda che se fai un sito accessibile non ti danno mica un premio. Cosa centrano i soldi pubblici con il tuo lavoro. Se invece ti riferisci hai soldi pubblici destinati a rendere siti istituzionali accessibili non vedo dove sia il problema. Fare un sito accessibile non richiede investimenti, ma conoscenza, in secondo luogo lo stato non si può permettere di escludere o di privilegiare cittadini. E' un principio normale, ne nobile, ne strano, normale, in quanto tutti hanno diritto a ciò che lo stato eroga, comprese le informazioni.
        Perchè ad un libero professionista (o dipendente)
        si vorrebbe imporre di svolgere il suo lavoro in
        un modo piuttosto che in un
        altro?Veramente ti stanno offrendo strumenti, standard efficaci nel risolvere il problema. Se uno li segue non lo fa perché è speciale, ma perché è normale lavorare bene.
        Tutto sommato una persona che sviluppa un sito
        web dovrebbe essere libero di svilupparlo come
        meglio crede, senza interferenze. Nel caso di un
        impianto elettrico ci sono delle norme da
        rispettare ma perchè le vogliamo imporre in un
        sito web?Per evitare che qualcuno venga penalizzato. Quando manca la sensibilità o l'orgoglio, il piacere di essere all'altezza, interviene l'obbligo. Con certe persone è l'unico modo efficace, tutto il resto non conta.Dimmi la verità, sei anche contro le strisce pedonali. :)
        Le discussioni fiume sulla necessità di siti
        accessibili mi è sembrata tanto come la guerra di
        bush contro i talebani per esportare la
        democrazia. Non è possibile esportare la
        democrazia con la forza!!!
        In questo mondo dell'informazione, uno standard
        emerge solo e se lo merita.
        Mi spiace per le tue idee ma probabilmente la
        bolla di sapone dell'accessibilità a tutti i
        costi è già scoppiata.
        Fermo restando che chi desidera fare siti
        accessibili può continuare a farlo (perchè no?)
        dal momento che può contare su molti più utenti
        potenziali (dal momento che i siti accessibili
        sono in percentuali irrisorie).Sai a volte si fanno cose solo perché vanno fatte e non perché dietro si cela un interesse personale.Ad esempio i miei siti superano il validator del w3, cioè sono compatibili con lo standard scelto. Non ho mai messo il bollino in quanto mi sembra ovvio che siano standard, è il mio mestiere, tutti gli altri sono dilettanti cronici.
        Albert1Detto il cinico. :)
        • Anonimo scrive:
          Re: W3.org e quello relativo italiano
          L'accessibilità è una questione di cultura.Quanto ci abbiamo messo ad abituarci all'idea che bisognava "spendere" per rimuovere le barriere architettoniche?Così nel web......Le legge 4/2004 è un gran passo avanti perchè snacisce e ribadisce un principio di uguaglianza che proprio nella Rete trova la sua massima espressione moderna.Che poi alcuni progettisti di siti web non abbiano alcuna voglia di capire come si può costruire un sito accattivante che sia anche accessibile, è un problema di prigrizia mentale.Fortunatamente vedo che almeno nella PA, ma anche nelle grandi organizzazioni l'accessibilità non è più messa in discussione, sopratutto quando disabile o meglio diversamente abile significa cittadino e/o cliente.Giuseppe
          • Anonimo scrive:
            Re: W3.org e quello relativo italiano
            Utilizzare le striscie pedonali, come un interruttore differenziale in un impianto elettrico, può *salvare* vite umane. Per questo è giusto ci siano delle regole.Un sito web fatto in un modo o nell'altro non salva la vita di nessuno. Io non ho complessi perchè non riesco a vedere un sito scritto in cinese (o dobbiamo portare tutti i siti scritti nella medesima lingua?).Stabilire se un quadro di De Chirico sia migliore o peggiore di un Van Gogh è molto soggettivo. Obbligare De Chirico a dipingere come Van Gogh mi sembra una forzatura.Innanzitutto lasciamo ad entrambi la possibilità di dipingere come vogliono.Sui siti accessibili per le PA posso essere daccordo. Oramai quasi tutti lo sono (bene o male, ripeto, sono stati spesi fiumi di parole ...) e quindi direi che ora è giunto il momento di smetterla (fermo restando che se ne può parlare all'infinito, ma non pretendere che tutti siano interessati).Il concetto che deve passare ai "talebani" dell'accessibilità è che SKY, Gardaland o Activision devono essere liberi di creare un sito come a loro va meglio.Rimuovere le barriere architettoniche è sicuramente un segno di civiltà ma deve essere altrettanto un segno di civiltà che *a casa mia*, se non ne ho necessità, le barriere architettoniche non le tolgo.E' un altrettanto serio problema di tolleranza. E poi, smettiamola di dire che gli sviluppatori che creano siti accessibili sono *migliori* di quelli che non lo fanno.Albert1
Chiudi i commenti