Descărcați.ject
În calcul , Download.ject (cunoscut și sub numele de Toofer sau Scob ) este un malware care atacă serverele Windows . Dacă este instalat pe un site neprotejat care rulează IIS ( Internet Information Services ) al Microsoft , software-ul adaugă JavaScript dăunător tuturor paginilor afișate de pe site.
Download.ject a fost primul caz cunoscut în care utilizatorii de Internet Explorer pentru Windows și-au putut infecta computerele cu programe malware (un backdoor sau keyloggers ) prin simpla vizualizare a unei pagini web . Problema a apărut în timpul unui atac extins pe 23 iunie 2004, când serverele infectate includeau mai multe site-uri financiare. În urma acestui atac, consultanții de securitate au început apoi să promoveze utilizarea Opera [1] sau Mozilla Firefox în locul IE.
Download.ject nu este un virus sau un vierme , deoarece nu se răspândește de la sine. Se speculează că atacul din 23 iunie a fost inițiat prin scanarea automată a serverelor care rulează IIS.
Atac pe 23 iunie 2004
Hackerii au instalat Download.ject pe site-urile financiare și corporative care rulează IIS 5.0 pe Windows 2000 , depășindu-și securitatea prin exploatarea vulnerabilității sale cunoscute (a existat un patch pentru această problemă, dar mulți administratori nu o aplicaseră niciodată). Atacul a fost descoperit pe 23 iunie, deși unii cercetători cred că este posibil să fi fost în desfășurare încă din 20 iunie.
Download.ject a adăugat un fragment JavaScript la toate paginile web prin intermediul serverelor compromise și, dacă oricare dintre aceste pagini ar fi vizualizate cu Internet Explorer, JavaScript ar fi fost executat din greșeală. În acest fel, ar fi putut recupera o copie a unuia dintre diferitele programe de backdoor și keylogger de pe un server situat în Rusia pentru ao instala pe computerul utilizatorului, folosind două erori în IE - una cu un patch disponibil, dar cealaltă fără. Aceste vulnerabilități există în toate versiunile de Internet Explorer, cu excepția versiunii incluse în Windows XP Service Pack 2, [2] care era în prezent doar în versiune beta .
Deși defectele serverului și browserului au fost deja exploatate înainte de 2004, acest atac se remarcă totuși pentru exploatarea simultană a celor două sisteme, pentru instalarea malware-ului pe site-uri populare (deși nu a fost publicată niciodată o listă de site-uri afectate) și pentru număr extrem de mare de rețele compromise: aproximativ o mie, adică mult mai mult decât orice altă încercare anterioară.
Microsoft a sfătuit utilizatorii cum să elimine o infecție și cum să navigheze cu setări de securitate maximă, în timp ce experții în securitate au sugerat dezactivarea JavaScript-ului, cum ar fi utilizarea unui browser diferit de Internet Explorer, utilizarea unui sistem de operare altul decât Windows sau starea permanentă în afara. Internet .
Acest atac special a fost neutralizat pe 25 iunie, când serverul de pe care Download.ject a instalat ușile din spate a fost închis. Pe 2 iulie, Microsoft a lansat un patch pentru Windows 2000 , Windows 2003 și Windows XP .
Deși este posibil să nu fie semnificativ în comparație cu metodele moderne de hacking (de exemplu, viermii trimiși prin e-mail ), faptul că aproape toate instalațiile IE existente (95% din browserele utilizate în acest moment) erau vulnerabile și că acesta este cel mai recent dintr-o serie de erori IE care au lăsat sistemul de operare vulnerabil, atacul din 23 iunie 2004 a provocat un val considerabil de îngrijorare publică. Unele știri au sfătuit utilizatorii să treacă la alte browsere, în ciuda faptului că versiunea nedefinită de atunci a Windows XP SP2 este considerată invulnerabilă la atac.
Notă
- ^ (EN) Schneier: Microsoft mai are de lucru pe schneier.com, 4 octombrie 2004. Accesat pe 29 august 2016.
- ^ Implementarea rețelelor Secure 802.11 folosind Microsoft Windows , la technet.microsoft.com , 12 decembrie 2006. Adus pe 29 august 2016 .
Elemente conexe
linkuri externe
Informații tehnice
- Site-uri web compromise infectează navigatorii web (SANS Internet Storm Center, 25 iunie 2004)
- Declarație Microsoft cu privire la problema de securitate a codului descărcător Ject (Microsoft, 26 iunie 2004)
- Buletin de securitate Microsoft MS04-011 - Actualizare securitate Microsoft Windows (835732) (Microsoft, 13 aprilie 2004)
- Vulnerabilitate de procesare URL MHTML (Vulnerabilități și expuneri comune, 5 aprilie 2004)
- Dezactivarea obiectului ADODB.Stream din Internet Explorer (Microsoft)
Revista de presă
- Virus conceput pentru a fura datele utilizatorilor Windows: sute de site-uri web vizate (The Washington Post, 26 iunie 2004)
- Atacul virusului site-ului web a fost tocit (CNet, 25 iunie 2004)
- Internet Attack Slowing Down (Săptămâna informațională, 25 iunie 2004)
- Schneier: Microsoft mai are de lucru (SearchSecurity.com, 4 octombrie 2004)
