Ataque a usuarios de Internet Explorer a través de servidores IIS comprometidos
Nuevo y duro varapalo a la credibilidad de Microsoft en relación a la seguridad, que pone en evidencia su política de distribuir macroparches mensualmente.
El problema
Una vulnerabilidad crítica de Internet Explorer publicada hace más de dos semanas, y para la cual Microsoft aun no ha suministrado solución, está provocando que gran cantidad de usuarios se infecten por un troyano de forma automática al visitar ciertos servidores web comprometidos.
En estos momentos aun se está investigando el método por el cual los atacantes han conseguido introducir el troyano en una gran cantidad de servidores web con Internet Information Server, algunos de ellos muy populares, que actúan distribuyendo el gusano e infectando automáticamente a los usuarios con Internet Explorer que visitan cualquiera de sus páginas, con la excepción de los sistemas Windows XP con el Service Pack 2 RC2 instalado, que están fuera de peligro.
Según el aviso oficial de Microsoft, los atacantes han aprovechado servidores web con Windows 2000 Server e Internet Information Server 5.0 vulnerables, que no han aplicado el macroparche 835732, publicado en el boletín MS04-011 el pasado 13 de abril. Aun continúan las investigaciones en este terreno, ya que algunos administradores de sitios web comprometidos han afirmado que sus sistemas estaban parcheados, aunque de momento no se ha detectado ninguna nueva vulnerabilidad que pudiera estar siendo aprovechada para comprometer a los servidores con IIS.
Una vez los atacantes consiguen el control del servidor web aprovechando una vulnerabilidad, modifican su configuración provocando que todas sus páginas web incluyan al final de la página un código Javascript malicioso. Este código redirecciona a una página que aprovecha la vulnerabilidad de Internet Explorer, para la que Microsoft aun no ha suministrado solución, y descarga e instala de forma automática un troyano en el sistema del usuario.
Cualquier usuario con Internet Explorer que visite uno de los servidores web comprometidos se verá afectado sin realizar ningún tipo de acción ni recibir mensaje alguno que pueda alertarlo, la infección se produce de forma automática y transparente para el usuario.
El troyano, que se descarga desde un servidor web ubicado en Rusia, ha sido diseñado para robar información sensible del usuario, así es capaz de robar nombres de usuarios y contraseñas utilizadas para acceder a servicios sensibles, como Ebay, Paypal o Yahoo webmail, entre otros. Cuando el usuario visita ciertas páginas web de servicios bancarios, el troyano es capaz de crear ventanas falsas, simulando ser formularios legítimos, solicitando y robando los números de tarjetas de crédito y PINs.
Microsoft recomienda a los administradores de Windows 2000 Server con Internet Information Server comprobar que tienen instalado el parche 835732 publicado en el boletín MS04-011. Para detectar si un IIS está comprometido, debemos dirigirnos a la herramienta Servicios de Internet Information Server, Propiedades del Sitio Web predeterminado, pestaña Documentos, y observar si se encuentra activada la opción de “Habilitar pie de página del documento” apuntado a una DLL. En caso afirmativo, el servidor está comprometido.
En cuanto a los usuarios de Internet Explorer, solicita que modifiquen su configuración para prevenir la vulnerabilidad mientras desarrollan y publican un parche específico: