Download.ject

In informatica, Download.ject (anche noto come Toofer o Scob) è un malware che attacca i server Windows. Se installato su un sito non protetto che esegue IIS (Internet Information Services) di Microsoft, il software aggiunge JavaScript dannosi a tutte le pagine visualizzate dal sito.

Download.ject è stato il primo caso noto in cui gli utenti di Internet Explorer per Windows avrebbero potuto infettare i propri computer con un malware (una backdoor o dei keylogger) semplicemente visualizzando una pagina web. La questione è emersa nel corso di un attacco diffuso il 23 giugno 2004, quando i server infetti comprendevano diversi siti finanziari. Sulla scia di questo attacco, quindi, i consulenti per la sicurezza iniziarono a promuovere l'uso di Opera^[1] o Mozilla Firefox al posto di IE.

Download.ject non è un virus o un worm, poiché non si diffonde da solo. Si ipotizza che l'attacco del 23 giugno sia stato inizializzato dalla scansione automatica dei server che eseguono IIS.

Attacco del 23 giugno 2004

Gli hacker installarono Download.ject su siti finanziari e societari che eseguivano IIS 5.0 su Windows 2000, superandone la sicurezza sfruttando la sua nota vulnerabilità (una patch per questo problema esisteva, ma molti amministratori non l'avevano mai applicata). L'attacco fu scoperto il 23 giugno, anche se alcuni ricercatori ritengono che potrebbe essere stato in atto fin dal 20 giugno.

Download.ject aggiunse un frammento di JavaScript a tutte le pagine web tramite i server compromessi e, se una qualunque di quelle pagine fosse stata visualizzata con Internet Explorer, il JavaScript sarebbe stato involontariamente eseguito. In questo modo esso avrebbe potuto recuperare una copia di uno dei vari programmi di backdoor e keylogger da un server situato in Russia per installarlo sul computer dell'utente, utilizzando due bug in IE - uno con una patch disponibile, ma l'altro senza. Queste vulnerabilità sono presenti in tutte le versioni di Internet Explorer, tranne nella versione inclusa in Windows XP Service Pack 2,^[2] che al momento era solo in versione beta.

Nonostante le falle dei server e del browser fossero già state sfruttate prima del 2004, questo attacco risulta tuttavia notevole per lo sfruttamento contemporaneo dei due sistemi, per aver installato il malware su siti popolari (anche se un elenco dei siti interessati non è mai stato rilasciato) e per il numero estremamente alto di reti compromesse: circa un migliaio, cioè moltissime in più rispetto a qualsiasi altro tentativo precedente.

Microsoft consigliò gli utenti su come rimuovere un'infezione e come navigare con impostazioni di sicurezza massime, mentre gli esperti di sicurezza suggerirono di disattivare JavaScript, ad esempio utilizzando un browser diverso da Internet Explorer, utilizzando un sistema operativo diverso da Windows o restando definitivamente fuori da Internet.

Questo particolare attacco fu neutralizzato il 25 giugno, quando il server da cui Download.ject installava le backdoor è stato chiuso. Il 2 luglio seguente, Microsoft rilasciò una patch per Windows 2000, Windows 2003 e Windows XP.

Anche se può non essere considerevole rispetto ai moderni metodi di hacking (ad esempio, worm inviati tramite posta elettronica), il fatto che quasi tutte le installazioni esistenti di IE (il 95% dei browser in uso al momento) fossero vulnerabili e che questo sia stato l'ultimo di una serie di bug di IE che rendeva il sistema operativo vulnerabile, l'attacco del 23 giugno 2004 causò una notevole ondata di preoccupazione nell'opinione pubblica. Anche alcune agenzie di stampa consigliarono agli utenti di passare ad altri browser, nonostante l'allora non definitiva versione di Windows XP SP2 fosse ritenuta invulnerabile agli attacchi.

Note

1. ^ (EN) Schneier: Microsoft still has work to do, su schneier.com, 4 ottobre 2004. URL consultato il 29 agosto 2016.
2. ^ Distribuzione di reti 802.11 protette che utilizzano Microsoft Windows, su technet.microsoft.com, 12 dicembre 2006. URL consultato il 29 agosto 2016.

Voci correlate

• Guerra dei browser

Collegamenti esterni

Informazioni tecniche

• Compromised Web Sites Infect Web Surfers (SANS Internet Storm Center, 25 Giugno 2004)
• Microsoft Statement Regarding Download.Ject Malicious Code Security Issue (Microsoft, 26 Giugno 2004)
• Bollettino Microsoft sulla sicurezza MS04-011 - Aggiornamento per la protezione di Microsoft Windows (835732) (Microsoft, 13 Aprile 2004)
• MHTML URL Processing Vulnerability (Common Vulnerabilities and Exposures, 5 Aprile 2004)
• Disattivazione dell'oggetto ADODB.Stream da Internet Explorer (Microsoft)

Rassegna stampa

• Virus Designed to Steal Windows Users' Data: Hundreds of Web Sites Targeted (The Washington Post, 26 Giugno 2004)
• Web site virus attack blunted (CNet, 25 Giugno 2004)
• Internet Attack Slowing Down (Information Week, 25 Giugno 2004)
• Schneier: Microsoft still has work to do (SearchSecurity.com, 4 Ottobre 2004)

  Portale Internet

  Portale Sicurezza informatica