News 23.11.2004, 12:45 Uhr

«Bofra/IFRAME Exploit»: So kams dazu (Update)

Am Wochenende verteilten mehrere grössere europäische Sites über Werbebanner schädliche Software. Jetzt sind neue Details über die Hintergründe des Supergaus ans Licht gekommen.
In den letzten Tagen muss Microsoft wieder einmal herbe Kritik über sich ergehen lassen. Am Wochenende nutzten Angreifer die bekannte, aber bislang noch nicht gestopfte IFRAME-Lücke im Internet Explorer aus, um zahlreiche Rechner mit schädlichem Code zu infizieren. Der PCtipp berichtete [1]. Nur Windows XP mit Service Pack 2 schützt bislang gegen die Schwachstelle. Der schädliche Code wurde mittels dem so genannten "Bofra/IFRAME Exploit" über die Anzeigenbanner mehrerer grössere Websites verteilt - darunter der britischen PC-Seite The Register [2] sowie Hollands grösster News-Homepage NU.nl [3].
Ausgang nahm die Geschichte beim bekannten Online-Werbevermarkter Falk eSolutions, der unter anderem die beiden Homepages mit Bannern bediente. In einer Stellungsnahme erklärt das Unternehmen [4], dass ein Angriff auf eine Schwachstelle eines so genannten Lastenverteiler im europäischen Netzwerk Schuld war. Ein Lastenverteiler dient dazu, Anfragen gleichmässig auf die dahinter liegenden Server zu verteilen. Anscheinend gelang es den Crackern, einen Teil der Anfragen auf die URL "search.comedycentral.com" umzuleiten. Der Comedy-Central-Server war von den Angreifern bereits zuvor gehackt worden und beherbergte den schädlichen Code. Dieser wurde heruntergeladen, sobald eine Seite mit den manipulierten Anzeigen besucht wurde. Gemäss Falk wurden die verhängnisvollen Banner den ganzen Samstagmorgen von ca. 6.10 bis 12.30 Uhr ausgeliefert. Danach hat das Werbeunternehmen den Lastenverteiler abgeschaltet. Ausserdem wurde Anzeige erstattet.
Der "Bofra/IFRAME Exploit" war nicht nur für zahlreiche Nutzer verhängnisvoll, sondern bedeutet auch für die Werbefirma Falk und die betroffenen Webseiten einen nicht zu unterschätzenden Imageverlust und sicher auch finanzielle Einbussen. The Register hatte etwa bis zum heutigen Tag die Bannerwerbung von Falk eingestellt. Zudem kratzt die ganze Geschichte weiter am Ruf des Internet Explorers. Solange Microsoft für die IFRAME-Schwachstelle keinen richtigen Patch veröffentlicht, ist ein ähnlicher Angriff wieder denkbar.


Kommentare

Es sind keine Kommentare vorhanden.