Seit Mitte letzter Woche hat ein Script, das Besucher von harmlosen Websites zu Malware-Schleudern umleitet, eine halbe Million Websites erobert – darunter eine Seite des US-Sicherheitsministeriums.

Am Freitag zeigte TheRegister, dass unter anderem auch eine Webseite des Departement of Homeland Security – jener US-Regierungsinstanz, welche auch für Cyber-Sicherheit zuständig ist – von dem aggressiven Script befallen ist:

Es leitet Besucher um auf eine von Malware strotzende Website. eine halbe Million Websites soll bereits nach Tagen betroffen gewesen sein, ergab eine Google-Suche. Anfällig für die Einschleus-Methode sind Server, die mit MSSQL betrieben werden, namentlich .asp-Seiten. Die drei Websites, auf die umgeleitet wurde, sollen seit Freitag grösstenteils inaktiv sein – möglicherweise, so TheRegister, weil sie vom Ansturm nichtsahnender “Besucher” überrannt worden seien.

Der Mechanismus des Umleitungs-Scripts basiert darauf, dass der Code zu weiten Teilen in Hexadezimal-Schreibweise eingeschleust und vom Server selber übersetzt und in die Datenbank geschrieben wird. Das funktioniert nur auf Servern, welche Benutzereingaben nicht vollständig überprüfen – was angeblich vor allem mit MSSQL und weit weniger bei der OpenSource-Datenbank MySQL der Fall sein soll.

Antiviren-Software-Hersteller Fsecure schreibt:

Bisher haben wir nur infizierte Websiten auf Servern angetroffen, die Microsoft IIS webserver und Microsoft SQL Server verwenden. Denken Sie daran, dass dieser Angriff keine Sicherheitslücken in diesen beiden Applikationen ausnützt. Er wird vielmehr durch schlecht verfassten ASP und ASPX (.net) Code ermöglicht.

Experten sind vom Ausmass der Attacke überrascht und rechnen damit, dass die “Aufräumarbeiten” sehr lange dauern werden: Wer kein Backup der Datenbank einspielen kann, müsse von Hand jeden vom Script überschriebenen Eintrag suchen und löschen.

Fsecure-Weblog: Massiver SQL-Angriff
The Register: Website der Homeland-Security gehackt
Hacker-Zine: Wie das HEx-Script funktioniert