[NEWS] Il search engine di Rai.Edu forse usato nei tentativi di distribuire malware

[Edgar Bangkok]

martedì 18 marzo 2008

Si e' scritto molto in questi giorni della enorme quantita' di pagine web coinvolte nel tentativo di linkare a malware chi esegue ricerche in rete tramite Google.
In effetti credo si siano anche scritte alcune imprecisioni al riguardo di quanto e' stato evidenziato tra i primi da Dancho Danchev 's nel suo blog.

Leggo ad esempio, in rete, in merito a quanto tradotto dal sito di Danchev ... “ Le pagine Web sono state modificate con un codice che reindirizza in automatico i visitatori a un altro sito web contenente un cocktail di malware che tenta di entrare nel PC dell'utente. ................”

In realta' nel caso descritto da Danchev's e poi ripreso da numerosi altri siti e blog di sicurezza, questa volta e' stato sfruttato un ingegnoso sistema che non prevede assolutamente la modifica delle pagine dei siti colpiti ma ne utilizza due caratteristiche:

La prima e' che il sito, che necessariamente deve essere di una certa importanza cosi' da avere un buon numero di visitatori, disponga, ad esempio, di un motore di ricerca il cui input sia vulnerabile a XXS
La seconda e' che il motore di ricerca del sito in questione preveda un caching delle stringhe passate per eseguire le ricerche e che le stesse possano essere indicizzate da Google.

MCRC Blog in un post dal titolo "Optimizing Cross Site Scripting - and general security practices" elenca bene i vari passaggi che vengono effettuati dai malintenzionati e che possiamo riassumere in :
" .............
- 1. Trovare una vulnerabilità XSS su un importante sito che ha una decente quantità di traffico (facile).
- 2. Decidere che cosa si desidera succeda alle vittime (link automatico a pagine malware, exploit ecc...)
- 3. Googling con il XSS e l'URL (la maggior parte dei siti di solito consentono di passare dei parametri in un GET, piuttosto che far valere solo POST).
- 4. Godetevi lo spettacolo - assicurarsi che il XSS (di solito una pagina di ricerca), contenga anche alcune parole chiave che facciano comparire ai primi posti il risultato su Google............. "

A questo punto se eseguiamo una ricerca su Google con le parole chiave immesse nella stringa di ricerca in precedenza sul sito vulnerbile a XXS, troveremo come risultato un link al sito che conterra' anche il corrispondente codice dell'iframe che ci reindirizzera' sul sito malware.

Volendo effettuare una ricerca di questi siti con motore di ricerca vulnerabile basta passare a Google una stringa che contenga il codice utilizzato dai malintenzionati per sfruttare la vulnerabilita XXS

Ad esempio una stringa di ricerca come questa :
(immagine sul blog)

passata a Goggle restituisce
(immagine sul blog)

e seguendo il link otteniamo
(immagine sul blog)

che e' la pagina del risultato di una ricerca effettuata sfruttando come si vede la vulnerabilita' XXS del serach engine del sito Rai Educational
(immagine sul blog)

Un altro esempio con differente stringa di ricerca passata a google.
(immagine sul blog)

In realta' quello del sito RAI e' solo un piccolo esempio in quanto sono migliaia le pagine appartenenti a siti come ZDNet Asia o TorrentReactor. che vengono trovate da una ricerca Google.
Inoltre non solo questi due importanti siti , ma molti altri sono rientrati in questo diffuso attacco.

Anche sed Goolge si sta impegnando per risolvere questo problema la parte piu' importante devono farla i gestori dei vari siti attaccati, chiudendo le vulnerabilita' XSS, dei loro motori di ricerca, che questa volta si sono dimostrate veramente pericolose attraverso questo ingegnoso sistema.

Al momento sembra che molti dei link presenti negli iframe siano offline ma in ogni caso bisognera' porre sempre piu' attenzione, quando si esegue una ricerca in rete, e si visitano siti ritenuti sicuri in quanto, come si vede, le brutte sorprese non mancano.

Edgar

fonte : http://edetools.blogspot.com/2008/03...engine-di.html