Mellékleteink: HUP | Gamekapocs
Keres

Adobe-biztonsági rést használt az adattolvaj malware

Hlács Ferenc, 2013. december 17. 14:00
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az Adobe ColdFusion sebezhetőségét kihasználva fertőztek meg támadók Microsoft IIS szervereket adattolvaj szoftverrel. Az Adobe már korábban figyelmeztetett a biztonsági résre amelyhez patch-et is kiadott, ám azt több szervezet még nem telepítette.

Adattolvaj malware-t juttattak támadók a Microsoft Internet Information Services (IIS) szoftverét használó szerverekre. A behatolást az Adobe ColdFusion biztonsági résén keresztül hajtották végre. A kártevőt a Trustwave biztonságtechnikai vállalat kutatói azonosították, nemrég közzétett jelentésük szerint az több IIS webszervert is megfertőzött. Az IIS modulként működő malware-t arra tervezték, hogy begyűjtse a felhasználók által közzétett információkat az adott szerveren lévő weboldalakról.

A kártékony modulok renegát DLL fájlok, amelyeket egy a Trustwave által ISN névre keresztelt rosszindulatú program telepít. Az ISN a kutatók szerint az IIS6 és IIS7+ 32 és 64 bites változataira is veszélyt jelent. A szoftver miután működésbe lép először az IIS verzióját ellenőrzi, majd installálja az adattolvaj DLL modult, ami ezután adott URL-ek felé irányuló POST lekérésekre vadászik, és az így szerzett információt egy log fájlba menti. A DLL-ek ezen felül lehetővé teszik a támadók számára, hogy különböző parancsokat küldjenek URL paramétereken keresztül, hogy letöltsék a tárolt információkat. Így például egy fertőzött IIS szerveren lévő online kereskedőoldalt látogatva veszélybe kerülhetnek a személyes adataink, illetve bankkártya információink is.

A módszer ellen még az SSL (Secure Socket Layer) kapcsolat sem védi meg a felhasználókat. Az ISN telepítéséhez a támadók az Adobe ColdFusion webes alkalmazásplatform sebezhetőségét használják ki, annak távoli azonosítás funkcióját megkerülve. A biztonsági rést korábban már az Adobe is észrevette, és januárban ki is adott egy patch-et az orvoslására - azt azonban több szervezet még nem telepítette, így a támadók képesek voltak azon keresztül hátsó bejáratként működő alkalmazást telepíteni a szerverekre.

A Trustwave rámutat, a hasonló szolgáltatásokat használó cégeknek és szervezeteknek ma már a lehető leghamarabb telepíteniük kell a hasonló javításokat, ha biztonságban akarják tudni saját és felhasználói adataikat. A hasonló kártékony programokat telepítő támadók sokkal gyorsabb tempót diktálnak mint az elmúlt években, a vállalatoknak pedig tartani kell a lépést. Az eset azt is jól mutatja, hogy a ColdFusion vonzó célpontot jelent a behatolók számára. Az Adobe-nak idén nem először kellett olyan sebezhetőségekre felhívnia ügyfelei figyelmét, amelyre akkor még nem volt patch, és a támadók már aktívan kihasználták.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.