Groß angelegter Angriff auf Web-Anwender im Gange

010100111001 · 20. Juni 2007

Mehrere Hersteller von Sicherheitssoftware warnen derzeit vor einer breit angelegten Attacke auf Web-Anwender. So will etwa Websense mehr als 10.000 europäische, vornehmlich italienische Webserver entdeckt haben, die versuchen, Besucher mit Trojanern zu infizieren. In der Regel soll es sich dabei um harmlose Server für Touristik, Hotels, Auto und Kino handeln, die gehackt und deren Seiten mit einem zusätzlichen IFrame ausgestattet wurden – dazu genügt eine Zeile Code, die ein Web-Admin nicht so ohne Weiteres entdeckt.

Der IFrame lädt Code von einem weiteren Server nach, auf dem das Web-Exploit-Toolkit MPACK zum Einsatz kommt. Das soll in der Lage sein, das Betriebssystem und den verwendeten Browser des PC des Opfers zu erkennen und dafür explizit zugeschnittene Exploits auszuprobieren. So ist das Toolkit nicht nur fähig, ungepatchte Lücken im Internet Explorer auszunutzen, sondern auch solche in Firefox und Opera. Auch Lücken in QuickTime nutzt es aus. Allerdings scheint MPACK nur auf bekannte Lücken zu setzen, für die es längst Updates der Hersteller gibt.

Glaubt man der integrierten Statistik von MPACK, sollen bereits mehr als hunderttausend Anwender die infizierte Seite nachgeladen haben, mehr als zehntausend ihre PCs mit einem Schädling infiziert haben. Dieser soll Bankdaten ausspähen und Tastatureingaben mitlesen. Eine genaue Analyse von MPACK hält Panda Software auf seinen Seiten bereit: MPACK uncovered. Der Antiviren-Hersteller Avira rät Anwendern, den Zugriff auf den MPACK-Server mit der IP-Adresse 64.38.33.13 zu blockieren.

Update
Ein im Blog von Trend Micro veröffentlichter Screenshot verdeutlicht, wie ein IFRAME aussehen kann, der auf einen MPACK-Server zeigt. Anwender sollten ihre Seiten gegebenenfalls auf ähnliche Einträge hin untersuchen und diese entfernen. Zudem ist die Manipulation ein Hinweis darauf, dass es im System eine Sicherheitslücke gibt, über die ein Angreifer jederzeit wieder eindringen kann. Dazu sind weitere Analysen notwendig.

quelle: heise.de

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

wollt mal diese new von heise.de hier posten und dazu ne frage stellen:

wie kann man denn global server (ip adresse) sperren, geht das überhaupt oder muss das für jeden browser / jede anwendung extra gemacht werden ??

Anzeige

Halloweenracer · 21. Juni 2007

AW: Groß angelegter Angriff auf Web-Anwender im Gange

hoi,

du kannst den server/die ip z.b in deinem router sperren.. jeder gängige router sollte sowas können... das wäre nur ein beispiel, was wohl mit am einfachsten ist.

mfg Halloweenracer

spotting · 21. Juni 2007

AW: Groß angelegter Angriff auf Web-Anwender im Gange

könntest auch in der windows hosts datei eine "umleitung" zu localhost setzen.
hätte den gleichen effekt.

http://www.wer-weiss-was.de/cgi-bin/faqs/faqindex.fpl?op=show&topicID=&entryID=2014

Bei Windows XP geht das folgendermaßen:

Gehe auf Start->Ausführen

Tip dort ein:
%SYSTEMROOT%\system32\drivers\etc\hosts
Und drücke 'OK'

Es erscheint der 'Öffnen mit'-Dialog, wähle dort 'Editor' und gehe auf 'OK'.

Die Datei ist nun offen, ganz am Ende gibst Du folgendes ein:
127.0.0.1 http://www.zusperrendeseite.de

Speichern, schließen.

rainman · 9. Januar 2008

Wieder groß angelegte Angriffe auf Web-Anwender im Gange

Erneut haben Kriminelle mehrere zehntausend harmlose Webserver manipuliert, um Besucher der Seiten mit Schadcode zu infizieren. Berichten zufolge sind die Täter dabei ähnlich vorgegangen wie im Juni 2007 bei der Attacke auf mehr als 10.000 europäische, vornehmlich italienische Webserver. Diesmal sollen weltweit neben kommerziellen aber auch zahlreiche Seiten von Behörden mit einem zusätzlichen IFrame ausgestattet worden sein, der von zwei offenbar chinesischen Servern Exploits nachlädt. Die Exploits nutzen eine ältere Lücke im Internet Explorer (MDAC) und wahrscheinlich die bislang ungepatchte Lücke im Real Player aus, um einen Windows-PC mit einem Trojan-Downloader zu infizieren, der weiteren Schadcode nachladen kann.

Die chinesischen Server stehen in den Domains uc8010.com und ucmal.com, eine davon wurde erst am 28. Dezember des vergangenen Jahres registriert. Administratoren sollten den Netzwerkverkehr auf mögliche Verbindungen zu diesen Domains untersuchen oder gleich ganz blocken.

Wie der zusätzliche IFrame in die Webseiten gelangte, ist noch unklar. Bei den vergangenen Attacken via MPack waren meist Massenhacks über fehlerhafte Skripte bei Shared-Webhostern die Ursache, diesmal aber auch die Seiten größerer Firmen wie Computer Associates betroffen, die eigene Server betreiben. Mittlerweile sollen auch MySpace-Seiten den Link zu den Exploits enthalten.

Zu ihrem Schutz sollten Anwender nur mit einer vollständig gepatchten Version des Internet Explorer arbeiten oder einen alternativen Browser nutzen. Zudem sollten Anwender den RealPlayer deinstallieren. Webseitenbetreiber sollten den Quellcode oder das ausgelieferte HTML-Dokument auf Manipulationen hin untersuchen.

Siehe dazu auch:

* Massive RealPlayer Exploit Embedded Attack, Analyse von Dancho Danchev
* Kritische Lücke im RealPlayer, Meldung auf heise Security
* Groß angelegter Angriff auf Web-Anwender im Gange, Meldung auf heise Security
* Weitere Details zu Web-Attack-Toolkit MPack, Meldung auf heise Security

(dab/c't)

Quelle:http://www.heise.de/newsticker/meldung/101521

Nützliche Suchen

Groß angelegter Angriff auf Web-Anwender im Gange

Videos zum Themenbereich