Rundt Sankt Hans ble det kjent at en rekke kjente nettsteder drevet av Microsofts webserver Internet Information Services (IIS) var infisert av en orm som var i stand til å deponere aktive kode hos besøkende med Microsofts nettleser Internet Explorer. Denne aktive koden fikk ofrets PC til å henvende seg til et russisk nettsted for å laste ned en trojaner som fanget opp tastetrykk og fisket etter passord. Ormen går nå under navnet Download.ject.
Les også:
- [20.04.2010] Sju år gammel IE-feil angripes for fullt
- [17.08.2004] Internet Explorer åpen for «fisking»
- [14.07.2004] Microsoft tetter flere kritiske sikkerhetshull
- [28.06.2004] Mafia-orm sanket passord
- [25.06.2004] Ukjent orm infiserer gjennom nettbesøk
Det ble antatt at ormen kunne ha sammenheng med russisk mafia, siden den åpenbart var svært avansert og utnyttet en til da ukjent sårbarhet i IIS.
Fredag oppdaterte Microsoft sin informasjonsside What You Should Know About Download.Ject etter å ha funnet ut en foreløpig måte å hindre Internet Explorer fra å motta aktiv kode fra infiserte nettsteder. Metoden spres gjennom Windows Update-tjenesten, og heter «Kritisk oppdatering for ADODB.stream». ADOBD.stream er et objekt i Internet Explorer som benytter seg av Active.X til å skrive til disk. Objektets evne til å motta ondsinnet kode fra et nettsted, skrive den til disk og kjøre den, har vært kjent i ni måneder, uten at Microsoft har gjort noe med denne sårbarheten.
Det oppdateringen gjør, er å endre Windows-konfigurasjonen slik at dette objektet gjøres inaktiv. Teknisk sett, skjer det en endring i Registry.
Oppdateringen gjelder utelukkende klientsiden av ormen Download.ject. Egenskapen som ormen utnytter i webserveren IIS – «enable document footer» – er ikke berørt. Systemadministratorer henvises til detaljerte instrukser som de må vurdere og utføre på egen hånd.
Fra og med Service Pack 2 av Windows XP – som ifølge siste nytt fra Microsoft skal gjøres tilgjengelig i september – vil standardkonfigurasjonen være at ADODB.stream slås av.
Microsoft lover en mer helhetlig tetting av sårbarheten på et seinere tidspunkt.
ADOBD.stream-objektet brukes i noen skreddersydde intranettløsninger for å håndtere dokumentutveksling og –redigering mellom server og klient. Microsofts informasjonsside om Download.ject oppgir metoder for å løse denne formen for interaktivitet uten å gå veien om dette objektet.
