Um grande ciberataque está visando páginas da web vulneráveis baseadas no Internet Information Server ao redirecionar os visitantes para sites hospedando códigos maliciosos e está crescendo rapidamente.
Quando a Panda Security notou a infestação, o número de servidores IIS infectados era de 282.000. Nem mesmo um dia depois e a F-Secure publicou em um blog que a infestação já passava de 500.000.
O pior de tudo é que a infestação está atingindo páginas legítimas. Um IFRAME redireciona o usuário para outra página, onde malwares usados para roubo de dados são baixados para o computador. Então, mesmo que os usuários pensem que estão a salvo, não estão. "Antigamente, você costumava pensar que se você fosse para o 'lado escuro' da Internet você seria infectado. Agora, você não precisa ir para a vizinhança ruim para ser atacado. Você pode estar caminhando no 'lado bom' da Internet e ainda assim ser infectado", disse Ryan Sherstobitoff, da Panda Security.
A vulnerabilidade no IIS permite que hackers injetem código SQL para manipular páginas legítimas. Este código adiciona um IFRAME para redirecionar o usuário para um site malicioso que varre seu PC em busca de vulnerabilidades e sem seguida faz o download e instalação de um malware que pode passar pelas defesas do usuário.
O problema afeta apenas o IIS, não o Apache ou outros servidores. A Microsoft já tem conhecimento da vulnerabilidade, mas não informou quando uma correção estará disponível. Sherstobitoff disse que os sites dos EUA são os mais atingidos, principalmente sites governamentais e de utilidade pública, que são muito populares. "Eles adoram tudo que oferece vítimas", disse Ryan Sherstobitoff.
A Panda e a F-Secure conseguiram identificar o código oculto nas páginas que fazem o redirecionamento. Os administradores dos sites devem procurar por esta linha oculta em suas páginas:
<script src=http://www.nihaorr1.com/1.js>
Se ela aparecer em qualquer lugar da página, então você tem um problema, como algumas pessoas notaram. Deixar o servidor mais seguro, instalar todas as atualizações e uma configuração apropriada deve ajudar a proteger seu servidor até que a Microsoft lance uma correção.
UPDATE: A Microsoft publicou soluções para as versões 6.0 e 7.0 do IIS e informou que o problema está relacionado a SQL Injection, não havendo nenhuma vulnerabilidade do IIS ou SQL Server. Bill Sisk, do Microsoft Security Response Center, informou que sites que seguem o manual de boas práticas de desenvolvimento não estão sujeitos a esse problema.
