Nuovi attacchi IFRAME bersagliano siti web famosi

Vi ricordate dell’attacco che, a partire da Giugno 2007, interessò migliaia di siti web italiani?
All’interno delle pagine che compongono molti siti “nostrani” era stata infatti aggiunta una tag html IFRAME che faceva riferimento a server remoti in grado di veicolare software dannoso. L’utente sprovvisto di particolari patch di sicurezza relativamente al sistema operativo in uso ed al browser web impiegato, visitando uno dei siti web attaccati, poteva quindi vedere il proprio personal computer infettato da malware.
In quei casi, ad essere violato era proprio il server in uso, a fronte della presenza di vulnerabilità di sicurezza lasciate non sanate o dell’utilizzo di diritti utente “troppo permissivi”.

Da qualche settimana, numerose aziende attive nel campo della sicurezza informatica, stanno lanciando un allarme relativo alla presenza, tra i risultati visualizzati in seguito alle query effettuate con i motori di ricerca (Google in primis), di URL “maligni” che, ad una prima occhiata, sembrerebbero invece essere del tutto legittimi perché facenti riferimento a siti web conosciuti e “fidati”.

Gli aggressori, questa volta, sembrano avere preso di mira siti web che vantano un “page rank” elevato che, quindi, con buona probabilità, compaiono spesso nei risultati delle ricerche operate dagli utenti.
Sono state, quindi, identificate delle lacune nella gestione delle query da parte motori di ricerca interna dei siti web individuati. I malintenzionati, hanno osservato che, passando tra i parametri in ingresso ad una pagina di ricerca, una tag IFRAME contenente un URL esterno, il motore di ricerca interno del sito web oggetto di attacco inseriva l’intera TAG html IFRAME all’interno del corpo del testo della pagina risultante.
Passando le varie pagine allo spider di Google, i malintenzionati sono riusciti a far comparire i loro URL “maligni” tra i risultati delle interrogazioni effettuate sul motore di ricerca del colosso di Mountain View, per molteplici parole chiave.
Come riportato nell’esempio di F-Secure, i malintenzionati sono riusciti a far presentare URL del tipo http://www.indirizzositobenigno/search.php?query=parola+chiave+%3CIFRAME%20src=RIFERIMENTO_URL_MALIGNO....
Chi effettua una ricerca su Google potrebbe verosimilmente non accorgersi dell’inganno vedendo, in testa all’indirizzo, un riferimento ad un sito web famoso, conosciuto e ritenuto affidabile.

Secondo quanto riportato sul blog dell’esperto di sicurezza bulgaro Dancho Danchev, sarebbero decine i siti web con “page rank” elevato già presi di mira.

Per sgombrare il campo da qualsiasi equivoco, ribadiamo che – nel caso di questo specifico attacco – nessun sito web è stato violato. Si ha invece a che fare, piuttosto, con un bug relativo alla gestione dei parametri di input passati ad una query di ricerca.

Una volta aperto l’URL “nocivo”, l’ignaro visitatore vedrebbe reindirizzato il proprio browser verso siti web “maligni”, molti dei quali veicolanti trojan od in grado di sfruttare vulnerabilità di sicurezza lato client per installare componenti software pericolosi.

La buona notizia è che i siti web “bersagliati”, stanno già correggendo le modalità con cui i rispettivi motori di ricerca interni trattano le informazioni ricevute in ingresso.
L’attacco è molto simile alla tipologia XSS, fatta eccezione per il fatto che – in quest’ultimo caso – si fa leva sull’uso di codice JavaScript nocivo.