|
Ataque a usuarios de Internet Explorer a través de servidores IIS comprometidos |
||
|
|
||
|
Por: vnunet.es (Bernardo Quintero) |
Enviar a un amigo
| 
Imprimir página |
|
Una
vulnerabilidad crítica de Internet Explorer publicada hace más de dos semanas, y
para la cual Microsoft aun no ha suministrado solución, está provocando que gran
cantidad de usuarios se infecten por un troyano de forma automática al visitar
ciertos servidores web comprometidos.
En estos momentos aun se está investigando el método por el cual los atacantes
han conseguido introducir el troyano en una gran cantidad de servidores web con
Internet Information Server, algunos de ellos muy populares, que actúan
distribuyendo el gusano e infectando automáticamente a los usuarios con Internet
Explorer que visitan cualquiera de sus páginas, con la excepción de los sistemas
Windows XP con el Service Pack 2 RC2 instalado, que están fuera de peligro.
Según el aviso oficial de Microsoft, los atacantes han aprovechado servidores
web con Windows 2000 Server e Internet Information Server 5.0 vulnerables, que
no han aplicado el macroparche 835732, publicado en el boletín MS04-011 el
pasado 13 de abril. Aun continúan las investigaciones en este terreno, ya que
algunos administradores de sitios web comprometidos han afirmado que sus
sistemas estaban parcheados, aunque de momento no se ha detectado ninguna nueva
vulnerabilidad que pudiera estar siendo aprovechada para comprometer a los
servidores con IIS.
Una vez los atacantes consiguen el control del servidor web aprovechando una
vulnerabilidad, modifican su configuración provocando que todas sus páginas web
incluyan al final de la página un código Javascript malicioso. Este código
redirecciona a una página que aprovecha la vulnerabilidad de Internet Explorer,
para la que Microsoft aun no ha suministrado solución, y descarga e instala de
forma automática un troyano en el sistema del usuario.
Cualquier usuario con Internet Explorer que visite uno de los servidores web
comprometidos se verá afectado sin realizar ningún tipo de acción ni recibir
mensaje alguno que pueda alertarlo, la infección se produce de forma automática
y transparente para el usuario.
El troyano, que se descarga desde un servidor web ubicado en Rusia, ha sido
diseñado para robar información sensible del usuario, así es capaz de robar
nombres de usuarios y contraseñas utilizadas para acceder a servicios sensibles,
como Ebay, Paypal o Yahoo webmail, entre otros. Cuando el usuario visita ciertas
páginas web de servicios bancarios, el troyano es capaz de crear ventanas
falsas, simulando ser formularios legítimos, solicitando y robando los números
de tarjetas de crédito y PINs.
Microsoft recomienda a los administradores de Windows 2000 Server con Internet
Information Server comprobar que tienen instalado el parche 835732 publicado en
el boletín MS04-011. Para detectar si un IIS está comprometido, debemos
dirigirnos a la herramienta Servicios de Internet Information Server,
Propiedades del Sitio Web predeterminado, pestaña Documentos, y observar si se
encuentra activada la opción de "Habilitar pie de página del documento" apuntado
a una DLL. En caso afirmativo, el servidor está comprometido.
En cuanto a los usuarios de Internet Explorer, solicita que modifiquen su
configuración para prevenir la vulnerabilidad mientras desarrollan y publican un
parche específico.
28 de junio de 2004
