攻击者在Adobe ColdFusion的漏洞从安装数据窃取恶意软件作品为微软的Internet信息服务(IIS)Web服务器软件的一个模块。
从安全公司Trustwave的研究人员最近报告说,他们已经确定了IIS(因特网信息服务器)Web服务器感染恶意IIS模块旨在窃取托管在这些服务器上的网站用户提交的信息。
这些模块是流氓DLL(动态链接库)文件,并通过一个恶意软件程序被安装在Trustwave研究者配成ISN该IIS6和IIS7 +的感染32位和64位版本。
ISN检测IIS版本和安装相应的DLL模块,然后监视POST请求 - 数据提交 - 对特定网址的并保存信息发送到日志文件中。
此方法允许即使在用户和服务器之间的连接是通过SSL(安全套接字层)保护的被收集的数据。捕获的数据可以是,例如,在被攻破的IIS服务器上运行的电子商务网站中输入个人信息和付款信息。流氓的DLL也使攻击者通过URL参数,以便下载存储的信息发送给特定的命令。
在一个新的博客文章周五,研究人员透露,正在安装ISN被感染的IIS服务器上通过利用在Adobe ColdFusion,请,一个Web应用程序平台的远程认证绕过漏洞。
土砖发布了一个补丁的漏洞,确定为CVE-2013-0629,在一月份,警告用户,该漏洞在攻击正在积极利用之后的几个星期。
在这种情况下,攻击者正在利用CVE-2013-0629安装称为Web外壳,使他们能够在底层操作系统上执行shell命令的后门程序。
该Trustwave研究人员追踪如ColdFusion妥协,导致安装ISN回二月底,在一个月的Adobe发布了补丁之后。“在这个特殊的事件,受害者组织意识到由Adobe的漏洞报告,但是他们每季度打补丁的过程,还没有安装补丁”的Trustwave研究人员说。
当谈到调整自己的补丁时间表,以跟上当今的攻击者是谁远比往年更快针对新发现的漏洞的事件概述了一个问题许多组织。
这也表明,ColdFusion的代表攻击者一个有趣的目标。的Adobe警告客户今年两次关于ColdFusion的漏洞,这些漏洞没有补丁和已经在积极攻击者利用。在四月黑客侵入的Linode,虚拟专用服务器托管公司的管理服务器和客户数据库,通过利用先前未知的ColdFusion的漏洞。