Szerző: Hlács Ferenc

2013. december 17. 14:00

Adobe-biztonsági rést használt az adattolvaj malware

Az Adobe ColdFusion sebezhetőségét kihasználva fertőztek meg támadók Microsoft IIS szervereket adattolvaj szoftverrel. Az Adobe már korábban figyelmeztetett a biztonsági résre amelyhez patch-et is kiadott, ám azt több szervezet még nem telepítette.

Adattolvaj malware-t juttattak támadók a Microsoft Internet Information Services (IIS) szoftverét használó szerverekre. A behatolást az Adobe ColdFusion biztonsági résén keresztül hajtották végre. A kártevőt a Trustwave biztonságtechnikai vállalat kutatói azonosították, nemrég közzétett jelentésük szerint az több IIS webszervert is megfertőzött. Az IIS modulként működő malware-t arra tervezték, hogy begyűjtse a felhasználók által közzétett információkat az adott szerveren lévő weboldalakról.

A kártékony modulok renegát DLL fájlok, amelyeket egy a Trustwave által ISN névre keresztelt rosszindulatú program telepít. Az ISN a kutatók szerint az IIS6 és IIS7+ 32 és 64 bites változataira is veszélyt jelent. A szoftver miután működésbe lép először az IIS verzióját ellenőrzi, majd installálja az adattolvaj DLL modult, ami ezután adott URL-ek felé irányuló POST lekérésekre vadászik, és az így szerzett információt egy log fájlba menti. A DLL-ek ezen felül lehetővé teszik a támadók számára, hogy különböző parancsokat küldjenek URL paramétereken keresztül, hogy letöltsék a tárolt információkat. Így például egy fertőzött IIS szerveren lévő online kereskedőoldalt látogatva veszélybe kerülhetnek a személyes adataink, illetve bankkártya információink is.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A módszer ellen még az SSL (Secure Socket Layer) kapcsolat sem védi meg a felhasználókat. Az ISN telepítéséhez a támadók az Adobe ColdFusion webes alkalmazásplatform sebezhetőségét használják ki, annak távoli azonosítás funkcióját megkerülve. A biztonsági rést korábban már az Adobe is észrevette, és januárban ki is adott egy patch-et az orvoslására - azt azonban több szervezet még nem telepítette, így a támadók képesek voltak azon keresztül hátsó bejáratként működő alkalmazást telepíteni a szerverekre.

A Trustwave rámutat, a hasonló szolgáltatásokat használó cégeknek és szervezeteknek ma már a lehető leghamarabb telepíteniük kell a hasonló javításokat, ha biztonságban akarják tudni saját és felhasználói adataikat. A hasonló kártékony programokat telepítő támadók sokkal gyorsabb tempót diktálnak mint az elmúlt években, a vállalatoknak pedig tartani kell a lépést. Az eset azt is jól mutatja, hogy a ColdFusion vonzó célpontot jelent a behatolók számára. Az Adobe-nak idén nem először kellett olyan sebezhetőségekre felhívnia ügyfelei figyelmét, amelyre akkor még nem volt patch, és a támadók már aktívan kihasználták.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról