Explications et analyse de l'attaque IIS/Internet Explorer/Scob


Contrairement à ce qu'affirment certains sites/médias plus ou moins spécialisés, il n'y a AUCUNE propagation d'un virus/ver ciblant les serveurs Microsoft IIS, et aucune propagation d'un virus ciblant les internautes (Scob et Berbew ne sont PAS des virus/ver. Scob est un code javascript chargé d'installer le Trojan berbew).

Un groupe de pirates inconnu est parvenu à pénétrer les sites web de nombreuses sociétés réputées, dont des établissements bancaires. Ils les ont infectés afin que tous les visiteurs de ces sites reçoivent à leur tour un logiciel espion s'il utilisent Internet Explorer. Aujourd'hui, le site chargé de distribuer le spyware a été neutralisé, mais l'affaire marque un précédent inquiétant.

 


Depuis le début de la semaine des pirates pénètrent les sites web d'entreprises en vue, d'établissements bancaires et autres services populaires. Ils y installent un code malicieux chargé de télécharger un logiciel espion sur le PC de leurs visiteurs si ceux-ci utilisent Internet Explorer. Ce spyware programmé sur mesures est destiné à capturer les comptes et les mots de passe saisis au clavier du PC infecté et les transmettre aux pirates.

L'affaire est particulièrement sérieuse car l'attaque est méthodique, discrète et surtout de grande envergure. Ce ne sont plus seulement les visiteurs de sites au contenu illégal qui sont concernés mais potentiellement n'importe quel utilisateur d'Internet Explorer. Impossible pour l'heure de connaître le nom des sites compromis, mais il s'agirait de sites parfois en vue, très fréquentés et appartenant souvent à de grandes entreprises, dont certains établissements bancaires. Leur nombre serait, bien sûr, relativement faible compte tenu des centaines de millions de sites que compte Internet, mais il s'agirait de l'attaque la plus ambitieuse à ce jour.

Une attaque en deux étapes - L'attaque a débuté aux environs du 20 juin par le piratage de nombreux sites web utilisant le serveur IIS de Microsoft. Les assaillants ont exploités pour cela une vulnérabilité probablement encore inconnue, car plusieurs administrateurs victimes de l'intrusion affirment que leur système était pourtant à jour de tous les correctifs. La faille côté serveur est liée à un composant SSL, et celle d'Internet Explorer à la gestion des flux ADODB, pour laquelle aucun correctif n'existe à ce jour. Cependant, le Service Pack 2 de Windows XP permettrait d'échapper à l'attaque.

Une fois dans la place, les pirates y installent alors un code javascript piégé et modifient la configuration du serveur afin que ce code malicieux soit distribué avec chaque page web. Ce bout de javascript est envoyé sous la forme d'un ajout automatique (option enable document footer activée) par le serveur à chaque élément (images, fichiers...). Les fichiers eux-mêmes ne sont ainsi jamais modifiés sur le système.

Lorsqu'un utilisateur d'Internet Explorer visite ensuite le site, ce code javascript est téléchargé sur son navigateur. Il utilise alors la fameuse combinaison de deux failles récemment exploitées pour infecter des internautes ainsi qu'une nouvelle que Microsoft n'a pas encore corrigée. Cela provoque le téléchargement et l'installation d'un cheval de Troie sur le PC à partir d'un site situé en Russie. Ce site pirate est aujourd'hui neutralisé et le cheval de Troie désormais reconnu par la plupart des antivirus du marché. Mais les sites infectés ne sont, pour la plupart, par encore nettoyés et continuent à disséminer le code javascript malicieux. Il suffirait alors de changer l'adresse IP du serveur où télécharger le cheval de Troie pour réactiver l'attaque, ce qui est partiellement le cas aujourd'hui, car l'on a observé un autre cheval de Troie être téléchargé par le même code Javascript.

Cette attaque inquiète par son aspect méthodique et furtif. En outre, on ne connaît pas encore la faille utilisée par les pirates pour prendre le contrôle des serveurs web IIS, et les deux vulnérabilités d'Internet Explorer ne sont toujours pas corrigées. Autant de facteurs qui continuent à entretenir la méfiance des internautes et la paranoïa des administrateurs systèmes.

Pour se protéger, les premiers peuvent mettre à jour leur antivirus ou penser à changer de navigateur pour une alternative plus fiable et moins exposée. Les seconds quant à eux devraient compter sur leurs IDS (une signature est disponible afin de détecter le javascript malicieux) ou vérifier régulièrement que l'option enable document footer est bien décochée.

Bulletin K-OTik : Possibilité d'attaque par zero-day contre des serveurs IIS 5.0

Par Jerome Saiz (Le 27 Juin 2004)     

 

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits