Thema: Viel besuchte Webseiten mit IE-Exploit infiziert

[SiLæncer]

Das Internet Storm Center (ISC) meldet gleich mehrere Webseiten auf denen Code zur Ausnutzung einer aktuellen Sicherheitslücke des Internet Explorers eingeschleust wurde. Eine unbekannte Gruppe scheint in die viel besuchten Seiten in England, den Niederlanden und Schweden eingedrungen zu sein und dort den Bofra/IFrame-Exploit platziert zu haben. Besucht ein Surfer die Seite mit dem Internet Explorer, so wird auf seinem Rechner Ad/Spyware installiert.

Betroffen ist der Internet Explorer auf Windows 2000 und XP mit Service Pack 1. Auf allen Servern läuft angeblich Apache - wie die Angreifer die Server infizieren konnten ist bislang unbekannt.

Wer das Service Pack 2 bereits eingespielt hat, ist zumindest vor diesem Exploit sicher. Das ISC empfiehlt dennoch auf andere Browser als den Internet Explorer umzusteigen. Grund dafür sind die immer wieder auftretenden Sicherheitsprobleme. Erst kürzlich hatte Microsoft mit einem größeren Sicherheitsupdate den Download.Ject-Bug geschlossen. Auch damals griffen kriminelle Gruppen systematisch Webserver an und manipulierten dort liegende Seiten. Diese nutzten eine lange Zeit nicht geschlossene Sicherheitslücken des Internet Explorers, um Surfern ausführbare Dateien unterzuschieben. Jetzt scheint sich ein solch zweistufiger Angriff zu wiederholen.

Mehr

Quelle : www.heise.de

[SiLæncer]

heise Security liegen mehrere Berichte vor, nach denen die Samstag gemeldeten Internet Explorer Exploits nicht direkt von den betroffenen Web-Servern stammen, sondern von diesen über Anzeigen nachgeladen werden. Bilder oder andere Medien für Anzeigen liegen oft auf externen "Ad-Servern". Der angesprochene Web-Server holt sich von diesen Servern auch den HTML/Script-Code, um die Werbemittel in die eigenen Seiten einzubetten und fügt diesen in die Seite ein, bevor er sie an den Anwender ausliefert. Wie der Exploit-Code auf die Ad-Server gelangen konnte, ist bisher unbekannt. Gemeinsam haben die heise Security vorliegenden Berichte, dass Ad-Software von Falk eingesetzt wird. Ob das Zufall ist oder tatsächlich ein Zusammenhang existiert, ist bisher ebenfalls unklar, die betroffenen Systeme werden zur Zeit noch untersucht.

Das Internet Storm Center hat ähnliche Berichte erhalten und empfiehlt allen Betreibern von Web-Servern, die Anzeigenbanner von anderen Sites einbetten, diese sorgfältig auf den IFRAME-Exploit zu untersuchen. Die Exploits lassen sich an überlangen Attributen, meist SRC-Angaben, in IFRAME-Tags erkennen. Des weiteren sollen Administratoren auch die Möglichkeit erwägen, die Anzeigen abzuschalten, bis weitere Informationen verfügbar sind, um das Risiko zu minimieren, Besucher der eigenen Seiten zu infizieren.

Das ISC hatte gemeldet, dass eine unbekannte Gruppe in viel besuchte Seiten in England, den Niederlanden und Schweden eingedrungen sei und dort den Bofra/IFrame-Exploit platziert habe. Besucht ein Surfer die Seite mit dem Internet Explorer, so wird auf seinem Rechner Ad/Spyware installiert. Es existiert noch kein Patch, aber wer Service Pack 2 für Windows XP installiert hat, ist von dem Problem nicht betroffen.

Quelle : www.heise.de

[Jürgen]

Langsam lichtet sich der Nebel um die IFrame-Attacken vom Wochenende. Der Dienstleister Falk eSolutions leitete offenbar Zugriffe auf seine Ad-Server auf einen kompromittierten Server um, sodass diverse, große europäische Web-Server am Samstag ihre Besucher mit einem Trojaner infizierten. Ursache sei ein Angriff auf eine Schwachstelle des Load Balancers vor den Adservern gewesen, erklärt Falk in einer Stellungnahme.

Web-Seiten binden in der Regel Anzeigen nicht direkt in ihren HTML-Code ein, sondern lediglich Verweise auf Ad-Server, die für die Verwaltung der Anzeigen zuständig sind. Sie steuern, wann welche Anzeige wo erscheinen soll, ohne dass dazu Änderungen an den Web-Seiten selbst erforderlich sind. Diese Ad-Server stehen oft extern -- beispielsweise bei größeren Vermarktungsgesellschaften. Die Firma Falk ist einer der großen Hersteller von Software für Ad-Server, betreibt aber auch einen Pool eigener Ad-Server.

Statt Anzeigen von den Falk-Servern luden jedoch aufgrund der Umleitung viele Anwender Samstag von einem gehackten Server Skript- und HTML-Code, der das IFrame-Loch des Internet Explorer ausnutzte und darüber ohne Nachfrage einen Trojaner auf den Systemen der Anwender installierte. Für dieses IFrame-Loch gibt es noch keinen Patch von Microsoft, lediglich in Windows XP mit Service Pack 2 ist der Fehler bereits behoben.

Die Falk AG schätzt, dass diese Umleitung nur bei weniger als zwei Prozent der ausgelieferten Anzeigen erfolgte. Multipliziert man diese Schätzung jedoch mit den Zugriffszahlen von betroffenen Sites wie The Register, wird schnell klar, dass der IFrame-Exploit wahrscheinlich an tausende von Anwendern ausgeliefert wurde. Der Vorfall könnte die Falk AG teuer zu stehen kommen. The Register verzichtet momentan auf weitere Dienste von Falk und erscheint derzeit ohne Anzeigen; einige der Betroffenen erwägen deftige Schadensersatzklagen.

Die Falk AG scheint jedoch keineswegs die einzige Firma zu sein, deren Ad-Server gehackt wurden. Die Sicherheitsfirma LURHQ führt in ihrer Analyse mindestens zwei weitere Ad-Server auf, die über diverse Umwege letztlich IFrame-Exploits ausliefern.

Update:
Seit heute morgen liefert The Register wieder Anzeigen über die Falk-Server aus. Die Betreiber schätzen, dass der IFrame-Exploit über tausend Mal ausgeliefert wurde, sehen aber keine Möglichkeit, festzustellen, wieviele Anwender sich damit infiziert haben. Neben der englischen Newssite waren jedoch auch einige große deutsche Web-Sites betroffen, die Falks AdSolution Global nutzen. (ju/c't) Quelle mit Links:
http://www.heise.de/newsticker/meldung/53536