Alerte 'Scob': il s'attaque aux sites Web et à vos données personnelles
Scob peut se révéler très dangereux. La sale bête est présente au sein même de certains sites Internet! Contrairement aux vers classiques, il n'utilise pas les messageries et les fichiers joints pour se propager. D'ailleurs, il ne s'agit pas d'un ver mais d'une attaque complexe à plusieurs niveaux.
Explications. L'attaque exploite une faille de sécurité inconnue dans le logiciel Internet Information Services (IIS) de Microsoft, un logiciel largement utilisé sur les serveurs hébergeant les sites web. Des hackers, visiblement russes, ont utilisé cette faille pour « distribuer » Scob à un nombre indéterminé et inconnu de sites Web mondiaux. L'objectif de Scob: se servir du site pour transmettre dans la plus grande discrétion un cheval de Troie à l'internaute qui visiterait le site corrompu. Le site infecté, via Scob, va utiliser une autre faille -non corrigée!- dans le navigateur web Internet Explorer pour y installer un « trojan » (cheval de Troie) dans le PC de l'utilisateur-internaute. L'équipe américaine du Computer Emergency Readiness a publié un avertissement sur son site web, soulignant que « tout site web, même ceux réputés fiables, peuvent être affectés par cette attaque et potentiellement contenir un code malveillant ». Le Trojan ainsi installé va ensuite enregistrer les touches frappées par l'utilisateur afin de saisir les numéros de cartes bancaires et les mots de passe avant de les envoyer vers un serveur situé en Russie, a décrit Michael Murray, responsable de la société de sécurité nCircle Network Security. Sur son site web, l'éditeur explique que les utilisateurs peuvent rechercher sur leur système les fichiers « Kk32.dll » et « Surf.dat », dont la présence signale une machine infectée. Il recommande de régler les paramètres de sécurité d'Internet Explorer sur « haut ». Attaque neutralisée? Les versions pour Macintosh d'Internet Explorer ne sont pas concernées par le virus Scob, ni les navigateurs web non-Microsoft, comme Mozilla, Opera et Safari d'Apple. Changer de navigateur se révèle donc une bonne solution. Ce dimanche, Microsoft se voulait rassurant. « La source de l'attaque a été identifiée quelque part en Russie et a été fermée« , a indiqué le groupe. « Les fournisseurs d'accès à Internet et les autorités, travaillant en coordination avec Microsoft, ont identifié le point d'origine de l'attaque en Russie et l'ont fermé jeudi soir ». Et de poursuivre: « Les utilisateurs du navigateur Internet Explorer ne risquent plus d'être attaqués par cette source-là depuis jeudi soir ». Evidemment, ces déclarations risquent d'avoir du mal à convaincre. Personne ne peut encore évlauer les dégâts d'une telle attaque qui utilise une fois encore des failles présentes dans les produits de la firme. La faille touchant IIS est inconnue et celles concernant Explorer ne sont pas corrigées! Il n'y a donc pas de quoi être rassuré. Une 'drôle' de surprise signée Microsoft
Microsoft indique travailler sur le problème, et confirme que le risque est critique ! L'éditeur confirme que les serveurs sous Windows 2000 Server et IIS peuvent être contaminés si la mise à jour
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
835732 n'a pas été effectuée. Mais la principale surprise vient de l'information selon laquelle les postes sur lesquels la mise à jour Windows XP SP2 a été déployée sont protégés. On est très content pour eux, mais la SP2 n'est pas encore officiellement disponible. Sympa Microsoft !
Sur le même thème
Voir tous les articles Cybersécurité