12:54Gio, 8 gennaio
CATEGORIE
AMPLETECHNEWS: WEBNEWS
IIS 5.0: allarme rosso per il server di Microsoft
di Ampletech
27/6/2004 19:21
27/6/2004 19:21
Si sta diffondendo il panico tra i gestori dei server basati su IIS 5.0 a causa di un bug che ha compromesso l'integrità delle pagine web. Nella tarda serata del 24 Giugno è stato segnalato un attacco ai server basati su Microsoft Internet Information Server 5.0.
Sui server è stato installato uno script - isolato poi con il nome di JS.Scob - il quale modifica le pagine web aggiungendo sé stesso alla fine.
Lo script per funzionare sui pc degli utenti sfrutta una vulnerabilità di Internet Explorer 6 che permette di eseguire del codice da remoto. La vulnerabilità, pubblicata il 6 Giugno, non è ancora stata sistemata. (BugTraq ID 10473)
Una volta che l'utente visita la pagina infetta, il trojan downloader reindirizza il browser sul sito russo 217.107.218.147 per scaricare un altro trojan, isolato come Backdoor.Berbew.F o Backdoor.Padodor. Il sito in questo momento è stato messo offline.
La backdoor rimane in ascolto sul sistema per rubare username e password. Per cercare di ingannare l'utente, la backdoor mostra anche finte finestre dove chiede di inserire il numero di carta di credito.
Attualmente sia la backdoor che lo script sono stati isolati e sono individuati dalla maggior parte dei software antivirus. Inoltre essendo stato messo offline il sito russo da dove veniva presa la backdoor, gli utenti possono stare per il momento relativamente tranquilli.
Il grosso problema è che nessuno sa con certezza in che modo i server basati su IIS 5.0 siano stati infettati, per ora si fanno solamente delle ipotesi. Per ora il bug più quotato è quello scoperto il 13 Aprile scorso, segnalato da Microsoft con il codice MS04-011 e CAN-2003-0719.
Tuttavia, non avendo nessuna certezza, è consigliabile ai gestori di server IIS di controllare se le pagine web gestite includono alla fine un JavaScript. Se il server risulta infetto, l'unico suggerimento per ora consigliato da Microsoft è quello di formattare e ricostruire il server, in quanto non si conoscono ancora procedure manuali per rimuovere il JavaScript.
Teoricamente sarebbe possibile cambiare i settaggi delle pagine web rimuovendo il javascript, ma non avendo ancora chiaro l'attacco subito è possibile che siano presenti nel server altre backdoor nascoste.
Per gli utenti di Internet Explorer 6 è consigliabile disabilitare l'esecuzione di JavaScript. Altri browser, come FireFox, non sono vulnerabili a questo attacco.
SicurezzaInRete
Sui server è stato installato uno script - isolato poi con il nome di JS.Scob - il quale modifica le pagine web aggiungendo sé stesso alla fine.
Lo script per funzionare sui pc degli utenti sfrutta una vulnerabilità di Internet Explorer 6 che permette di eseguire del codice da remoto. La vulnerabilità, pubblicata il 6 Giugno, non è ancora stata sistemata. (BugTraq ID 10473)
Una volta che l'utente visita la pagina infetta, il trojan downloader reindirizza il browser sul sito russo 217.107.218.147 per scaricare un altro trojan, isolato come Backdoor.Berbew.F o Backdoor.Padodor. Il sito in questo momento è stato messo offline.
La backdoor rimane in ascolto sul sistema per rubare username e password. Per cercare di ingannare l'utente, la backdoor mostra anche finte finestre dove chiede di inserire il numero di carta di credito.
Attualmente sia la backdoor che lo script sono stati isolati e sono individuati dalla maggior parte dei software antivirus. Inoltre essendo stato messo offline il sito russo da dove veniva presa la backdoor, gli utenti possono stare per il momento relativamente tranquilli.
Il grosso problema è che nessuno sa con certezza in che modo i server basati su IIS 5.0 siano stati infettati, per ora si fanno solamente delle ipotesi. Per ora il bug più quotato è quello scoperto il 13 Aprile scorso, segnalato da Microsoft con il codice MS04-011 e CAN-2003-0719.
Tuttavia, non avendo nessuna certezza, è consigliabile ai gestori di server IIS di controllare se le pagine web gestite includono alla fine un JavaScript. Se il server risulta infetto, l'unico suggerimento per ora consigliato da Microsoft è quello di formattare e ricostruire il server, in quanto non si conoscono ancora procedure manuali per rimuovere il JavaScript.
Teoricamente sarebbe possibile cambiare i settaggi delle pagine web rimuovendo il javascript, ma non avendo ancora chiaro l'attacco subito è possibile che siano presenti nel server altre backdoor nascoste.
Per gli utenti di Internet Explorer 6 è consigliabile disabilitare l'esecuzione di JavaScript. Altri browser, come FireFox, non sono vulnerabili a questo attacco.
SicurezzaInRete
Mac Mini, Macworld, Apple Expo: cosa bolle nella pentola di Apple?
Niente più Apple Expo a Parigi, nuovo Mac Mini per l'ultima edizione del Macworld nella quale Apple sarà presente, anche senza Jobs.· Enermax Aurora Micro
· Manhunt 2 in arrivo per Halloween
· Cooler Master HAF 932: l'inverno in un case
· L'iPod nacque anche grazie un brevetto di 30 ...
· Electronic Arts regala C&C: Red Alert
· Manhunt 2 in arrivo per Halloween
· Cooler Master HAF 932: l'inverno in un case
· L'iPod nacque anche grazie un brevetto di 30 ...
· Electronic Arts regala C&C: Red Alert