500 mil sites foram afetados por uma injeção de SQL que propaga um cavalo-de-tróia ladrão de senhas. Segundo o Sans Institute Storm Center, ...
500 mil sites foram afetados por uma injeção de SQL que propaga um cavalo-de-tróia ladrão de senhas.
Segundo o Sans Institute Storm Center, SISC, os ataques atingiram sites de entidades, de empresas e até páginas de governo. “Esse tipo de injeção esvazia o conceito de site ‘confiável’ ou ‘seguro’ ”, diz o pesquisador Donald Smith, do SISC, mesma afirmação do blog do PandaLabs.
Os sites comprometidos com essa injeção de SQL são invadidos por um código que redireciona o browser para outro site, no qual um cavalo-de-tróia ladrão de senhas tenta se instalar na máquina do usuário.
O SISC recomenda que as empresas bloqueiem em seus firewalls de borda o acesso ao endereço hxxp:/www.nihaorr1.com e também ao IP a ele associado, 219DOT153DOT46DOT28.
Aparentemente, esse ataque seria o denominado IFrame pelo PandaLabs, só se deu em sites usando IIS e MSSQL, porém, segundo o PandaLabs Blog, ao contrário do que aparenta o ataque não estaria explorando uma brecha de segurança destes softwares e sim uma falha na programação ASP usada pelo desenvolvedores.
O trecho de código abaixo, extraído de uma página ASP (“orderitem.asp”), permite o uso de SQL injection no banco de dados, o que permitiria incluir uma tag IFrame no site atacado, desviando o fluxo para um site falso e possibilitando a inserção de malware.
Via Plantão Info,
Pandalabs Blog
Veja também:
Fim dos Antivírus - Será?
Segundo o Sans Institute Storm Center, SISC, os ataques atingiram sites de entidades, de empresas e até páginas de governo. “Esse tipo de injeção esvazia o conceito de site ‘confiável’ ou ‘seguro’ ”, diz o pesquisador Donald Smith, do SISC, mesma afirmação do blog do PandaLabs.
Os sites comprometidos com essa injeção de SQL são invadidos por um código que redireciona o browser para outro site, no qual um cavalo-de-tróia ladrão de senhas tenta se instalar na máquina do usuário.
O SISC recomenda que as empresas bloqueiem em seus firewalls de borda o acesso ao endereço hxxp:/www.nihaorr1.com e também ao IP a ele associado, 219DOT153DOT46DOT28.
Aparentemente, esse ataque seria o denominado IFrame pelo PandaLabs, só se deu em sites usando IIS e MSSQL, porém, segundo o PandaLabs Blog, ao contrário do que aparenta o ataque não estaria explorando uma brecha de segurança destes softwares e sim uma falha na programação ASP usada pelo desenvolvedores.
O trecho de código abaixo, extraído de uma página ASP (“orderitem.asp”), permite o uso de SQL injection no banco de dados, o que permitiria incluir uma tag IFrame no site atacado, desviando o fluxo para um site falso e possibilitando a inserção de malware.
Via Plantão Info,
Pandalabs Blog
Veja também:
Fim dos Antivírus - Será?
