"Whistleblowing" Seite Cryptome.org infiziert mit Drive-by-exploits

2014-01-08  |  Comebuy News

Cryptome.org, eine Website Offenlegung vertraulicher Informationen gewidmet, wurde letzte Woche kompromittiert und wurde verwendet, um PCs mit Internet Explorer durch Drive-by-Exploits zu infizieren.

Comebuy Verwandte Artikel: Heilen laufende vorbeifahren Download Kampagne entführt MIT ServerDoes Sophos-Tool Windows Kontextmenü Angriffe?PC-Benutzer, die von riesigen fake antivirus AttackDrive getroffen-per Download Angriff auf Facebook benutzt bösartige ads6 Wege zu verteidigen gegen Drive-by-Downloads

Die Sicherheitslücke wurde Sonntag entdeckt, wenn ein Leser Cryptomes Besitzer über eine Sicherheitswarnung, erhielt er seine Antiviren-Programms benachrichtigt, wenn Zugriff auf die Website.

Eine spätere Untersuchung deckte auf, dass ein Rogue-Script-Element in der Website-HTML-Seiten auf Feb. 8 eingeimpft hatte um zu lenken, dass Besucher auf eine Installation von der Blackhole Kit nutzen.

Das Blackhole-Exploit-Kit wird häufig verwendet, für Drive-by-Download Angriffe von kompromittierten Webseiten durch Ausnutzung von Schwachstellen in Programmen, die auf den Computern der Benutzer, die Zugriff auf diese installiert.

Im Fall von Cryptome gezielt die Blackhole-Installation ungepatchte Versionen von Internet Explorer 6, 7 und 8. Eine Log-Datei auf dem Server gefunden zufolge 2.863 unterschiedliche IP-Adressen gerichtet waren, bis das Rogue-Skript identifiziert und entfernt wurde.

Vermeidung Erkennung der Angriffscode herausgefiltert Verbindungen von Google, der University of California in Santa Barbara und mehrere online-Website-scanning-Dienstleistungen.

Es ist nicht klar, wie Cryptome zunächst gefährdet war, aber Forscher, der seine Webserver ansah herausgefunden, dass es eine veraltete Version der FrontPage-Servererweiterungen ausgeführt wurde.

"Frontpage hat nicht seit geraumer Zeit existiert und die Web-Server-Erweiterungen, die es zu unterstützen wurden fehlerhaft und hatte viele Sicherheitslücken vom ersten Tag", sagte Chester Wisniewski, ein senior Security Advisor bei Antivirenhersteller Sophos, in einem Blog-Post.

Wisniewski's Empfehlung für Webmaster ist jeder Web-Server-Module deaktivieren, die nicht verwendet werden, um die potenzielle Angriffsfläche zu verringern. Deaktivieren von Debuggen und Status-Seiten ist auch eine gute Idee, weil diese Tool kann Angreifer geben Hinweise, wo die Schwachstellen sein könnte, sagte er. Wisniewski die sonstige Beratung umfassen ein Versionskontrollsystem, das Änderungen an Websites vorgenommen und regelmässig auf die Server-Protokolle auf verdächtige Aktivitäten überwacht werden kann.

Internet-Nutzer ihre Softwareanwendungen um werden sich gegen Drive-by-Download-Angriffe schützen aktuell zu halten sollte, sagte er. Das Betriebssystem, Browser und Browser-Plug-ins sind einige der am häufigsten gezielte Stück Software.

« Back