Un ataque Web infecta medio millón de páginas legítimas

Un ataque a través de dominios Web legítimos, incluidos algunos pertenecientes a Naciones Unidas, ha empezado a extenderse por Internet a velocidades vertiginosas, según diversos especialistas en seguridad online. Cientos de miles de páginas habían resultado hackeadas ya el pasado viernes.

Diversas firmas de seguridad, incluida Websense, han advertido del problema. Un enorme número de sitios legítimos ha resultado víctima del ataque y están sirviendo malware a sus visitantes. De cualquier modo, estos sitios son sólo los más recientes blancos de tal ataque, basado en inyección SQL y que lleva extendiéndose, aunque con menor intensidad, desde principios de año.

Dan Hubbard, vicepresidente de investigación en seguridad de Websense, estimó que el número de Webs afectadas a principios de la semana pasada era de entre 100.000 y 200.000, pero a los pocos días Panda Security advirtió que la cantidad había aumentado a 282.000 y, después, F-Secure aseguró haber contabilizado ya medio millón.

Algunos expertos han informado de que los sitios podrían haber resultado comprometidos a través de un problema de seguridad en el software servidor Web ISS (Internet Information Services) de Microsoft, una circunstancia ya comunicada al fabricante. Según Ryan Sherstobitoff, experto de Panda, asegura que el suministrador de seguridad ha notificado a Microsoft su probable responsabilidad en el asunto. “Hemos informado a la compañía, pero no sabemos a ciencia cierta si se trata de una vulnerabilidad”, explica Shertobitoff.

Microsoft investiga IIS
“Microsoft ha emitido ya un aviso de seguridad en el que asegura estar investigando informes públicos sobre problemas en IIS, que parece referirse al asunto en cuestión”, según Shertobitoff. Tal aviso fue publicado el 17 de abril, y en él, el fabricante advertía a los usuarios de una brecha en las versiones más recientes de Windows que podía ser explotada a través de aplicaciones Web que corrieran sobre IIS. Según la propia Microsoft, la vulnerabilidad también resultaría explotable vía SQL Server.

El viernes, el fabricante declaró no saber aún si la avalancha de ataques a sitios Web reportada, entre otros, por Websense, Panda y F-Secure estaba relacionada con el agujero descrito en su aviso de abril. En cualquier caso, las compañías de seguridad han urgido a los administradores de sitios Web a analizar las entradas a sus servidores en busca de evidencias de ataques y han recomendado a las empresas bloquear varios sitios infectados.

También sirve como protección frente a esta oleada de malware la desactivación de JavaScript, según Symantec, aunque a menudo los usuarios son reacios a hacerlo porque sin esta funcionalidad muchos sitios no se muestran adecuadamente.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers