Une attaque massive cible les serveurs Web
L'exploitation de failles dans les sites Web a permis l'intégration de JavaScript malveillant dans les pages. Technique transparente pour les internautes, elle permet d'infecter les ordinateurs vulnérables.
La fourchette est ample : selon les éditeurs d'antivirus, entre 250 000 et 500 000 pages Web seraient actuellement infectées par un iFrame destiné à installer sur le poste des internautes des programmes malveillants. Pour contaminer ces sites Web, les pirates exploitent une attaque par injection SQL grâce à des vulnérabilités des serveurs Web et dans les applications.
De nombreux sites Internet à forte audience ont ainsi été attaqués, dont en France Lesjeudis.com qui ont depuis remédié à la faille de sécurité. Des sites gouvernementaux britanniques et américains, parmi lesquels celui du Département de la sécurité nationale sont également concernés.
L'attaque est automatisée. Elle repose sur un scan du Web afin d'identifier les pages sur lesquelles un script peut s'exécuter dans le but d'y insérer un iFrame. Pour les sites exploitant les technologies ASP et ASP.net, une exploitation réussie ouvre aux pirates l'accès au serveur Web et la possibilité d'intégrer l'iFrame malveillant qui dirigera alors les visiteurs vers un autre site installant des logiciels malveillants, dont des chevaux de Troie. Les internautes ne disposant pas de systèmes à jour sont naturellement les plus exposés.
"Plus de 3000 sites italiens attaqués en juin 2007"
Les voix ayant laissé entendre que cette attaque massive serait imputable à une faille zero-day (pour laquelle il n'existe pas de correctif) dans IIS, le serveur Web de Microsoft, se sont heurtées à l'éditeur. La firme de Redmond a en effet rapidement réagi en écartant par le biais du MSRC (Microsoft Security Response Center) l'existence d'une vulnérabilité inconnue dans ses applications IIS 6.0, ASP, ASP.Net et SQL Server.
Les attaques ne seraient pas non plus liées au dernier bulletin de sécurité publié par Microsoft. Celui-ci encourage néanmoins les utilisateurs à appliquer sans tarder ses derniers correctifs. Sur son blog dédié à IIS, Microsoft rappelle aussi que les attaques par injections SQL peuvent être limitées par le respect de bonnes pratiques de développement des applications Web. Ces recommandations sont disponibles depuis le site MSDN.
Quant aux éditeurs d'antivirus Panda et F-Secure, ils invitent les administrateurs à rechercher dans leurs pages la présence du JavaScript malveillant. Celui-ci se signale par le code suivant "<script src=http://www.nihaorr1.com/1.js>". Pour les pirates, les attaques par iFrame leur permettent d'exploiter la confiance des internautes puisque le code malveillant se dissimule directement sur des sites légitimes.
Même si l'envergure de l'attaque est importante, la méthode employée n'est elle pas nouvelle. En juin 2007 l'utilisation malveillante de l'iFrame avait déjà fait massivement parler d'elle en ciblant plus de 3 000 sites italiens. Il s'agit la plupart du temps d'installer de façon invisible des logiciels destinés à dérober des données, comme les keyloggers.