Vedi il banner e poi muori

Nei giorni scorsi il circuito banner di un'agenzia pubblicitaria ha cominciato a sparare trojan ai visitatori di diversi siti Web, tra cui una celebre e-zine inglese. Ecco i dettagli del clamoroso attacco
Nei giorni scorsi il circuito banner di un'agenzia pubblicitaria ha cominciato a sparare trojan ai visitatori di diversi siti Web, tra cui una celebre e-zine inglese. Ecco i dettagli del clamoroso attacco


Roma – L’idea alla base del famoso attacco Download.Ject , che sfruttò le immagini presenti su alcuni siti web per diffondere un pericoloso worm, sembra aver fatto scuola. A diversi mesi di distanza da quell’episodio, infatti, ignoti cracker si sono avvalsi di un circuito di banner pubblicitari per infettare un imprecisato numero di navigatori del Web.

Il trojan è stato scoperto all’interno di alcuni banner della società Falk AG veicolati attraverso diversi siti web nordeuropei, tra i quali la ben nota e-zine inglese The Register: quest’ultima, accortasi del problema lo scorso sabato, ha temporaneamente bloccato tutta la pubblicità proveniente da Falk.

In un articolo , The Register ha spiegato che i banner incriminati installavano nei PC vulnerabili un exploit noto come Bofra, lo stesso contenuto all’interno di alcune recenti varianti del worm MyDoom. Ciò che rende Bofra particolarmente insidioso è la sua capacità di sfruttare un grave bug di Internet Explorer , relativo alla non corretta gestione di certi attributi del tag IFRAME, per il quale non esiste ancora nessuna patch. Chi ha installato il Service Pack 2 per Windows XP, o utilizza un browser diverso da IE, non corre rischi.

“(I problemi) sono iniziati sabato mattina con l’attacco di un cracker ad uno dei nostri sistemi di bilanciamento del carico”, ha spiegato ieri Falk in un comunicato . “Questo attacco ha utilizzato un punto debole di questo specifico tipo di sistema per il bilanciamento del carico (…) e ha fatto in modo che le richieste (HTTP, NdR) non passassero per i nostri server di advertising ma fossero redirette verso un sito compromesso. Questo accadeva ogni circa 30 richieste”.

Falk sostiene, dunque, che Bofra veniva scaricato da un sito web malevolo verso cui i cracker hanno dirottato parte delle connessioni provenienti dai banner. L’azienda ha stimato che gli utenti coinvolti nell’incidente sono “un piccolo numero”, numero quantificato con il 2% di un totale che, però, non è stato reso noto.

In questo advisory il SANS Institute raccomanda con enfasi agli utenti di Internet Explorer 6 di utilizzare un altro browser fino a che Microsoft non correggerà il bug legato ad IFRAME. Un ricercatore di sicurezza ha anticipato il big di Redmond rilasciando una patch per IE, mossa che, nell’ambiente della cyber security, ha però riacceso il dibattito sui rischi relativi all’uso di patch non ufficiali.

Link copiato negli appunti

Ti potrebbe interessare

22 11 2004
Link copiato negli appunti