En estos momentos aun se está investigando el método por el cual los atacantes han conseguido introducir el troyano en una gran cantidad de servidores web con Internet Information Server, algunos de ellos muy populares, que actúan distribuyendo el gusano e infectando automáticamente a los usuarios con Internet Explorer que visitan cualquiera de sus páginas, con la excepción de los sistemas Windows XP con el Service Pack 2 RC2 instalado, que están fuera de peligro.
Según el aviso oficial de Microsoft, los atacantes han aprovechado servidores web con Windows 2000 Server e Internet Information Server 5.0 vulnerables, que no han aplicado el macroparche 835732, publicado en el boletín MS04-011 el pasado 13 de abril. Aun continúan las investigaciones en este terreno, ya que algunos administradores de sitios web comprometidos han afirmado que sus sistemas estaban parcheados, aunque de momento no se ha detectado ninguna nueva vulnerabilidad que pudiera estar siendo aprovechada para comprometer a los servidores con IIS.
Una vez los atacantes consiguen el control del servidor web aprovechando una vulnerabilidad, modifican su configuración provocando que todas sus páginas web incluyan al final de la página un código Javascript malicioso. Este código redirecciona a una página que aprovecha la vulnerabilidad de Internet Explorer, para la que Microsoft aun no ha suministrado solución, y descarga e instala de forma automática un troyano en el sistema del usuario.
Cualquier usuario con Internet Explorer que visite uno de los servidores web comprometidos se verá afectado sin realizar ningún tipo de acción ni recibir mensaje alguno que pueda alertarlo, la infección se produce de forma automática y transparente para el usuario.
El troyano, que se descarga desde un servidor web ubicado en Rusia, ha sido diseñado para robar información sensible del usuario, así es capaz de robar nombres de usuarios y contraseñas utilizadas para acceder a servicios sensibles, como Ebay, Paypal o Yahoo webmail, entre otros. Cuando el usuario visita ciertas páginas web de servicios bancarios, el troyano es capaz de crear ventanas falsas, simulando ser formularios legítimos, solicitando y robando los números de tarjetas de crédito y PINs.
Microsoft recomienda a los administradores de Windows 2000 Server con Internet Information Server comprobar que tienen instalado el parche 835732 publicado en el boletín MS04-011. Para detectar si un IIS está comprometido, debemos dirigirnos a la herramienta Servicios de Internet Information Server, Propiedades del Sitio Web predeterminado, pestaña Documentos, y observar si se encuentra activada la opción de «Habilitar pie de página del documento» apuntado a una DLL. En caso afirmativo, el servidor está comprometido.
En cuanto a los usuarios de Internet Explorer, solicita que modifiquen su configuración para prevenir la vulnerabilidad mientras desarrollan y publican un parche específico:
Pasos en Internet Explorer:
menú Herramientas -> Opciones de Internet -> pestaña Seguridad -> seleccionar la zona Internet (bola del mundo) -> botón Nivel predeterminado -> situar el control en Alta
Con esta configuración algunos sitios web no se visualizarán de forma correcta, incluida la propia página WindowsUpdate de Microsoft que permite detectar e instalar los parches de seguridad en los sistemas de forma automática. Para que funcione ésta página con la configuración anterior, será necesario introducir la URL http://windowsupdate.microsoft.com en Sitios de confianza.
Otra opción a tener en cuenta para prevenir este ataque y similares, recomendada por fuentes independientes, consiste en utilizar un navegador y cliente de correo distintos a Internet Explorer y Outlook Express.
Adicionalmente, desde Hispasec también recomendamos a los usuarios utilicen un antivirus puntualmente actualizado, ya que pueden detectar el troyano e incluso el código que explota la vulnerabilidad de Internet Explorer, previniendo la infección del sistema. Estas soluciones también podrán detectar si el sistema del usuario está infectado y proceder a su limpieza.
Más información:
What You Should Know About Download.Ject
http://www.microsoft.com/security/incident/Download_Ject.mspx
Compromised Web Sites Infect Web Surfers
http://isc.sans.org/diary.php?date=2004-06-25
RFI – Russian IIS Hacks?
http://isc.sans.org/diary.php?date=2004-06-24
IIS Exploit Infecting Web Site Visitors With Malware
http://news.netcraft.com/archives/2004/06/25/
iis_exploit_infecting_web_site_visitors_with_malware.html
IIS Server Malware is Phishing Scam
http://news.netcraft.com/archives/2004/06/25/
iis_server_malware_is_phishing_scam.html
Microsoft Security Bulletin MS04-011
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
