Laut einem Bericht der Kollegen von heise.de haben Kriminelle zehntausende Webserver manipuliert, die nun Angriffe gegen Web-Anwender durchführen. Die Besucher der manipulierten Websites werden mit Schadcode infiziert, der sich in einem zusätzlichen IFrame versteckt.
Einen ähnlichen Angriff gab es bereits im Juni 2007, als rund 10.000 europäische Webserver gehackt wurden, vornehmlich aus Italien. Diesmal sollen auch kommerzielle Websites und Internetauftritte von Behörden betroffen sein. Die in den IFrames versteckten Exploits nutzen eine alte Lücke im Internet Explorer sowie eine noch ungepatchte Sicherheitslücke im RealPlayer.
Die Exploits werden von zwei chinesischen Servern nachgeladen, die hinter den Domains uc8010.com und ucmal.com stehen. Administratoren sollten den Zugriff auf diese Server in ihren Netzwerken komplett sperren, um Angriffe zu vermeiden. Privatanwender sollten nur mit einem vollständig gepatchten Internet Explorer surfen und den RealPlayer deinstallieren.
Wie es die Angreifer geschafft haben, die Websites zu manipulieren, konnte bislang noch nicht geklärt werden.
Weitere Informationen: Analyse von Dancho Danchev