Los especialistas de muchas compañías de antivirus, así como quienes se encuentran relacionados con la seguridad informática, han reportado y estudiado varios sitios comprometidos.
Según informa el blog de ESET Latinoamérica, los atacantes estarían aprovechándose de una vulnerabilidad en los servidores para poder inyectar un código malicioso en las páginas alojadas. Tras ser modificada la página web, cada visitante sería redirigido a otra dirección donde un malware se instalaría en su ordenador.
Para lograr dicho objetivo los ciberdelincuentes estarían aprovechando varios fallos que son de conocimiento público. Los mismos incluirían desde códigos JavaScript hasta ActiveX, entre otros. Una de las vulnerabilidades explotadas sería en el reproductor multimedia RealPlayer en su versión 11.x y posiblemente anteriores. La misma permitiría la ejecución de código remoto en el ordenador que tenga la aplicación vulnerable.
Este malware posiblemente se encargue de "abrir la puerta" a otras amenazas más peligrosas que a su vez tomarían el control de la máquina.
Actualmente los sitios comprometidos serían más de cien mil y se desconoce si sus responsables ya han sido notificados o se encuentran trabajando en una solución. Google.com advierte en algunas de sus búsquedas que los enlaces encontrados pueden ser perjudiciales, mediante el texto "Este sitio puede dañar tu equipo" que se muestra debajo del enlace principal.
De acuerdo con el Instituto SANS (SysAdmin Audit Network Security), la mayoría de los sitios afectados estarían montados en ISS (Internet Information Services) y Microsoft SQL Server. Previamente en noviembre se detectó un ataque similar sin mucho éxito, siendo el actual una versión más mejorada y efectiva.
El ISS es una serie de servicios en Microsoft Windows que convierten el ordenador en un servidor de Intranet o Internet, posibilitando la publicación de material web en el ciberespacio (servidor web).
Microsoft SQL Server es un sistema de gestión de bases de datos relacionadas, que permite la consulta a las mismas mediante formularios o páginas web ya preparadas, tanto en forma local como remota.
Entre la gran cantidad de sitios comprometidos, se encuentran muchos de habla hispana. Parecería que algunas dominios educacionales y de gobierno ya han vuelto a la normalidad, pero se desconoce si han implementado alguna protección para no ser vulnerados nuevamente. Chile parece ser uno de los países más afectados.
Los administradores de sitios webs con programas o sistemas operativos de la compañía Microsoft, que no hayan actualizado sus servidores, deberían hacerlo lo antes posible, debido a la explotación del agujero de seguridad ya reportado en el boletín MS06-014.
Se recomienda a los usuarios no abrir archivos relacionados con el reproductor RealPlayer, y contar con la protección de un antivirus actualizado.
Temas relacionados
Blog del laboratorio - ESET Latinoamerica
http://blogs.eset-la.com/laboratorio/2008/01/08/ataque-masivo-sitios-web/
SANS Internet Storm Center (Ingles)
http://isc.sans.org/diary.html?storyid=3823
Secunia Advisory - SA28276 (Ingles)
http://secunia.com/advisories/28276/
Secunia Advisory - SA28276 (Traducción vía Google)
http://tinyurl.com/3a72sh
Boletín de Microsoft - Año 2006 - MS06014
http://www.microsoft.com/latam/technet/seguridad/boletines/ms06-014.mspx
|
