25.04.2008 | Redakteur: Florian Karlstetter
Websense, Anbieter von Web- und Messaging-Security-Lösungen, hat seit Anfang April einen großangelegten Angriff auf tausende von Domains festgestellt und warnt aktuell vor einer zweiten Ausbruchswelle. Demnach sind mittlerweile hunderttausende Webseiten mit verseuchtem Javascript infiziert – und täglich kommen neue hinzu.
Besuchen Surfer eine mit bösartigem Javascript verseuchte Webseite, wird eine Datei namens „1.js“ heruntergeladen und der Anwender zu „1.htm“ umgeleitet. Dort geht es dann um eine gezielte Ausnutzung der seit Anfang 2007 bekannten Lücke MS07-004 in Microsoft Vector Markup Language (VML).
Durch Ausnutzen der Schwachstelle können Hacker bösartigen Code einspielen. In der Folge erhalten Kriminelle die komplette Kontrolle über ein infiziertes Windows-System.
Die herunterladbare Javascript-Datei 1.js wird auf einer Domain namens „nihao[removed].com“ gehostet. Der Javascript-Code führt einen redirekt auf die Seite „1.htm“ durch, die auf derselben Domain liegt.
Einmal geladen, versucht die Datei insgesamt acht Sicherheitslücken auszunutzen. Dabei handelt es sich um Schwachstellen, die auf die bekannte Microsoft-Lücke MS-004 zurückzuführen ist. Betroffen sind verschiedene Windows-Versionen, darunter Windows 2000, XP und Server 2003. Mit Ausnahme von Windows 2000 mit SP4 bietet Microsoft entsprechende Security Updates für die betroffenen Systeme an. In Windows Vista tritt die Schwachstelle nicht auf.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012316)
