Contrairement à ce qu'affirment certains sites/médias plus ou moins
spécialisés, il n'y a AUCUNE propagation d'un virus/ver ciblant les serveurs
Microsoft IIS, et aucune propagation d'un virus ciblant les internautes
(Scob et Berbew ne sont PAS des virus/ver.
Scob est un code javascript chargé d'installer le Trojan berbew).
Un groupe de pirates inconnu est parvenu à pénétrer les sites web de
nombreuses sociétés réputées, dont des établissements bancaires.
Ils les ont infectés afin que tous les visiteurs de ces sites reçoivent à leur
tour un logiciel espion s'il utilisent Internet Explorer.
Aujourd'hui, le site chargé de distribuer le spyware a été neutralisé, mais
l'affaire marque un précédent inquiétant....
Depuis le début de la semaine des pirates pénètrent les sites web
d'entreprises en vue, d'établissements bancaires et autres services
populaires.
Ils y installent un code malicieux chargé de télécharger un logiciel espion
sur le PC de leurs visiteurs si ceux-ci utilisent Internet Explorer.
Ce spyware programmé sur mesures est destiné à capturer les comptes et
les mots de passe saisis au clavier du PC infecté et les transmettre aux
pirates.
L'affaire est particulièrement sérieuse car l'attaque est méthodique,
discrète et surtout de grande envergure.
Ce ne sont plus seulement les visiteurs de sites au contenu illégal qui sont
concernés mais potentiellement n'importe quel utilisateur d'Internet
Explorer.
Impossible pour l'heure de connaître le nom des sites compromis, mais il
s'agirait de sites parfois en vue, très fréquentés et appartenant souvent à
de grandes entreprises, dont certains établissements bancaires.
Leur nombre serait, bien sûr, relativement faible compte tenu des
centaines de millions de sites que compte Internet, mais il s'agirait de
l'attaque la plus ambitieuse à ce jour.
Une attaque en deux étapes -
L'attaque a débuté aux environs du 20 juin par le piratage de nombreux
sites web utilisant le serveur IIS de Microsoft.
Les assaillants ont exploités pour cela une vulnérabilité probablement
encore inconnue, car plusieurs administrateurs victimes de l'intrusion
affirment que leur système était pourtant à jour de tous les correctifs.
La faille côté serveur est liée à un composant SSL, et celle d'Internet
Explorer à la gestion des flux ADODB, pour laquelle aucun correctif
n'existe à ce jour.
Cependant, le Service Pack 2 de Windows XP permettrait d'échapper à
l'attaque.
Une fois dans la place, les pirates y installent alors un code javascript
piégé et modifient la configuration du serveur afin que ce code malicieux
soit distribué avec chaque page web.
Ce bout de javascript est envoyé sous la forme d'un ajout automatique
(option enable document footer activée) par le serveur à chaque élément
(images, fichiers...).
Les fichiers eux-mêmes ne sont ainsi jamais modifiés sur le système.
Lorsqu'un utilisateur d'Internet Explorer visite ensuite le site, ce code
javascript est téléchargé sur son navigateur.
Il utilise alors la fameuse combinaison de deux failles récemment
exploitées pour infecter des internautes ainsi qu'une nouvelle que Microsoft
n'a pas encore corrigée.
Cela provoque le téléchargement et l'installation d'un cheval de Troie sur
le PC à partir d'un site situé en Russie.
Ce site pirate est aujourd'hui neutralisé et le cheval de Troie désormais
reconnu par la plupart des antivirus du marché.
Mais les sites infectés ne sont, pour la plupart, par encore nettoyés et
continuent à disséminer le code javascript malicieux.
Il suffirait alors de changer l'adresse IP du serveur où télécharger le
cheval de Troie pour réactiver l'attaque, ce qui est partiellement le cas
aujourd'hui, car l'on a observé un autre cheval de Troie être téléchargé
par le même code Javascript.
Cette attaque inquiète par son aspect méthodique et furtif.
En outre, on ne connaît pas encore la faille utilisée par les pirates pour
prendre le contrôle des serveurs web IIS, et les deux vulnérabilités
d'Internet Explorer ne sont toujours pas corrigées.
Autant de facteurs qui continuent à entretenir la méfiance des internautes
et la paranoïa des administrateurs systèmes.
Pour se protéger, les premiers peuvent mettre à jour leur antivirus ou
penser à changer de navigateur pour une alternative plus fiable et moins
exposée.
Les seconds quant à eux devraient compter sur leurs IDS (une signature
est disponible afin de détecter le javascript malicieux) ou vérifier
régulièrement que l'option enable document footer est bien décochée.
Par Jerome Saiz (Le 27 Juin 2004)
scott
SECURITE - SCOB ET BERBEW NE SONT PAS DES VIRUS /WORMS
Modérateurs : Team Admin, Team Info