Techcrunch hacket: PDF-sårbarhed blottede besøgende for malware

Hackere ledte brugere af den europæiske udgave af teknologihjemmesiden Techcrunch videre til at ondsindet site med malware i Zeus-familien.

Den europæiske udgave af den populære teknologihjemmeside Techcrunch blev mandag udsat for et målrettet angreb, hvor det lykkedes hackere at indføre ondsindet Javascript-kode via en sårbarhed på hjemmesiden.

Scriptet førte automatisk de besøgende på eu.techcrunch.com videre til et andet domæne, som ifølge det danske it-sikkerhedsfirma CSIS har præsenteret brugeren for et særligt udformet PDF-dokument.

PDF'en udnytter adskillige sårbarheder i Adobes PDF-læser Reader til at inficere den besøgendes pc med malware i den berygtede Zeus-familie.

»Vi fik en alert via et lukket sikkerhedsforum, som vi er medlem af. Der var kommet adskillige rapporter fra flere it-sikkerhedsfirmaer om, at vilkårlige brugere helt automatisk var blevet ført væk fra Techcrunch Europe og over på et ondsindet domæne ved hjælp af et skadeligt script,« siger analytiker i CSIS, Peter Kruse, til Version2.

Han betegner angrebet som et helt klassisk scriptindsættelsesangreb ? en angrebstype, der er blevet mere og mere almindelig på især velbesøgte hjemmesider de seneste par år.

»Vi har set den slags angreb stige i antal med lidt over 200 procent de seneste par år. Det er tydeligt, at de it-kriminelle går efter de store websites med høj volumen, så de får flere brugere ledt ind i folden,« siger Peter Kruse.

Sårbarheder bliver fundet uanset hvad

Han påpeger samtidig, at den pågældende type af såkaldte drive-by-angreb på den ene side kan gennemføres ved at indføre skadelig kode på hjemmesiden eller én af dens undersider og derved få scriptet ført ud til de besøgende.

Men angrebet kan også gennemføres ved at skyde scriptet ud til de besøgende gennem én af hjemmesidens reklameleverandører.

»Vi ser begge metoder anvendt lige hyppigt,« siger Peter Kruse.

Derfor handler det om for hjemmesideejeren løbende at sørge for, at ens egen hjemmesidekode ? men også eventuelle underleverandørers ? er sikret bedst muligt mod angreb, siger Peter Kruse.

»Det er lige så sikkert som amen i kirken, at sårbarheder bliver fundet, selv på dynamiske sites.«

Teknologikonsulent Graham Cluley fra it-sikkerhedsfirmaet Sophos oplyser på sin blog, at de it-kriminelle har indført den ondsindede kode, der benytter sig af en iFrame, i en Javascript-fil, der bruges i hjemmesidens Wordpress-baserede infrastruktur.

Sophoslabs har identificeret den pågældende Zeus-variant som Troj/Zbot-YP.

Techcrunch meddelte i går via den sociale tjeneste Twitter, at nyhedshjemmesiden var klar over angrebet og arbejdede på at løse problemet hurtigst muligt.

Ifølge Graham Cluley skulle det ondsindede Javascript nu være fjernet fra hjemmesiden. Han opfordrer Techcrunch til at lægge en officiel besked på hjemmesiden, som beder de besøgende tjekke, at deres antivirus-software er opdateret.

Version2 har forsøgt at få en uddybende kommentar fra Techcrunch Europe, hvilket endnu ikke er lykkedes.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Kruse

Scriptet tvinger brugeren videre til en webside hvorfra der leveres et særligt udformet PDF dokument.

Det særlige dokument udnytter flere sårbarheder rettet mod Adobe Reader/Acrobat.

Hvis maskinen ikke er forsvarligt opdateret og browseren accepterer javascript, så køres shellkode i hukommelsen der automatisk henter en Zbot/ZeuS variant. Angrebet er begrænset til Microsoft Windows maskiner.

Venligst Peter

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hej Erik,

Er der tale om en PDF-sårbarhed, eller er det en sårbarhed i Adobe Acrobat Reader, som blot er eet af mange PDF-læse-programmer?

Pudsigt nok er det samme overskrifts-hurlumhej vi ser, når det drejer sig om "sårbarhed i DOCX-filer", "Sårbarhed i ODF-filer" etc ... hvor det retteligt er i programmerne sårbarhederne findes. Det sælger åbenbart flere kliks på reklamer at formulere det på den måde.

Men sjovt nok hører vi aldrig om "Sårbarheder i HTML" - men derimod altid om "Sårbarhed i IE/Firefox/Safari" etc ... her kan journalisterne åbenbart godt finde ud af det.

:o)

  • 0
  • 0
Log ind eller Opret konto for at kommentere