Sårbare servere inficerer browsere

Hackere udnytter sårbar serversoftware til at installere programmer, der inficerer sårbare browsere, skriver lederen af DK-CERT, Shehzad Ahmad, i denne klumme fra Computerworld Online.

Af chefkonsulent Shehzad Ahmad, UNI-C, leder af DK•CERT - Shehzad.Ahmad@uni-c.dk

En søgning på Google kan føre til, at din pc bliver inficeret med skadelige programmer.

Det kræver blot, at du klikker på et link til et websted, der udnytter sårbarheder til at sprede skadelig software med.

En anden forudsætning skal naturligvis også være opfyldt: Du skal bruge en sårbar browser.

Google Anti-Malware Team har sammen med to forskere fra Johns Hopkins University set nærmere på fænomenet, som kaldes drive-by downloads.

Navnet spiller på begrebet drive-by shootings, hvor et offer bliver skudt fra en bil i fart.

Den typiske drive-by download foregår ved, at offeret besøger en webside.

Udnytter sårbarhed
Herpå ligger der et script, der udnytter en sårbarhed, som enten findes i browseren eller kan nås gennem den. Det vil ofte være sårbarheder i Internet Explorer eller i ActiveX-kontroller.

Ofte ligger scriptet ikke på selve siden, men på en anden server, hvorfra det hentes med kommandoen Iframe.

Tre millioner URL'er
Forskerne har analyseret over 66 millioner URL'er i 10 måneder sidste år.

Analysen fandt over tre millioner URL'er, der forsøgte at udføre drive-by downloads.

Selve de skadelige programmer lå på godt 9.000 forskellige websteder.

Der er altså masser af farlige sider derude. Men hvor stor er sandsynligheden for at lande på en af dem?

For at besvare det spørgsmål kiggede forskerne på Googles søgeresultater.

Mange henvisinger
De analyserede de en million mest populære resultater af Google-søgninger. Ud af dem var der 6.000, som henviste til websteder, der på et tidspunkt har udbredt skadelige programmer.

Undersøgelsen viser også, at en stadig større andel af søgninger returnerer mindst én skadelig URL.

I januar 2008 var det således over 1,3 procent af søgningerne, hvor tallet i april 2007 var under 0,4 procent.

Et interessant spørgsmål er, hvordan de skadelige programmer overhovedet lander på serverne i første omgang.

Nogle af serverne er naturligvis opsat med det ene formål at narre ofrene til at kigge forbi og blive inficeret.

Men mange er helt legitime servere, hvis bagmænd ofte ikke aner, at de er med til at sprede skadelig software.
Forældet serversoftware

Undersøgelsen giver et godt bud på, hvordan legitime websteder kommer til at udføre drive-by downloads. Forskerne har nemlig kigget på den serversoftware, der kører på dem.

Ud af 55.000 Apache-servere rapporterede knap 21.000, at de kørte en gammel version af programmet. Der er desværre ikke tilsvarende tal for IIS og andre webserverprogrammer.

Gammel version meget udbredt
Når det gælder PHP, rapporterede knap 40 procent, at de kørte med en gammel version.

Dermed er det sandsynligt, at mange af serverne er blevet overtaget via sårbarheder i de gamle programmer.

Herefter har hackerne placeret deres drive-by download-angreb på dem.

En anden vej ind i serverne går gennem tredjepartsindhold.

Det er typisk annoncer, der hentes fra en samarbejdspartner.

I gennemsnit fik to procent af de skadelige URL'er deres farlige programmer via annoncer.

Jeg kan anbefale rapporten, "All Your Iframes Point to Us," der indeholder flere interessante oplysninger om drive-by downloads.

Min konklusion efter læsningen: Hold software opdateret – både når det gælder webserverprogrammer og browsere.

Et andet råd er at benytte andre browsere end Internet Explorer eller slå scripts og ActiveX fra.

En anden undersøgelse, "Know Your Enemy: Malicious Web Servers," viste for et halvt år siden, at langt de fleste angrebsprogrammer er rettet mod sårbarheder i Internet Explorer.

Så hvis man bruger en sårbar version af Firefox, er risikoen for at blive ramt af et angreb langt mindre end med en sårbar Internet Explorer.

Oprindelig bragt på Computerworld Online den 29. februar 2008

LINKS

Rapporten fra Google, "All Your Iframes Point to Us" (PDF-format)
"Know Your Enemy: Malicious Web Servers" fra The Honeynet Project (PDF-format)

Keywords: