Alerta: Media-servers.net comprometido
La red ThreatSeeker de Websense Security Labs ha detectado que el sitio media-servers.net fue comprometido y le fue inyectado código malicioso. El sitio web pertenece a un avisador de alto perfil en el mundo de Internet. Es importante notar que media-servers.net sirve contenido de publicidades de ad.media-servers.net, y que ese sitio está limpio. El código inyectado es parte de una campaña de inyección masiva que comprometió a miles de sitios web legítimos. Los laboratorios de seguridad de Websense han estado rastreando esta campaña por meses.
Los exploits asociados a este ataque son:
Microsoft DirectShow CVE-2008-0015
Microsoft Snapshot Viewer CVE-2008-2463
Microsoft Data Access Components (MDAC) CVE-2006-0003
AOL ConvertFile() desborde remoto de bufer (exploit)
También hay un archivo PDF maliciosos que se autocarga y aprovecha las siguientes vulnerabilidades:
Adobe Reader and Acrobat 8.1.1 buffer overflow CVE-2007-5659
Adobe Acrobat and Reader 8.1.2 buffer overflow CVE-2008-2992
Captura del sitio wweb inyectado:
Captura del código inyectado:
Si el navegador del usuario es explotado con éxito, se descarga un archivo malicioso y corre en el directorio Windows del usuario desde otro sitio que colabora con el exploit. El archivo malicioso (SHA1: 6776489a0ed889fbabb317763c7c913fdc782631) tiene una tasa de detección AV muy baja al momento en que fue verificado.
Traducción: Raúl Batista - Segu-info
Fuente: Websense Security Labs
Los exploits asociados a este ataque son:
Microsoft DirectShow CVE-2008-0015
Microsoft Snapshot Viewer CVE-2008-2463
Microsoft Data Access Components (MDAC) CVE-2006-0003
AOL ConvertFile() desborde remoto de bufer (exploit)
También hay un archivo PDF maliciosos que se autocarga y aprovecha las siguientes vulnerabilidades:
Adobe Reader and Acrobat 8.1.1 buffer overflow CVE-2007-5659
Adobe Acrobat and Reader 8.1.2 buffer overflow CVE-2008-2992
Captura del sitio wweb inyectado:
Captura del código inyectado:
Si el navegador del usuario es explotado con éxito, se descarga un archivo malicioso y corre en el directorio Windows del usuario desde otro sitio que colabora con el exploit. El archivo malicioso (SHA1: 6776489a0ed889fbabb317763c7c913fdc782631) tiene una tasa de detección AV muy baja al momento en que fue verificado.
Traducción: Raúl Batista - Segu-info
Fuente: Websense Security Labs
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!