Cerca de 500 mil domínios legítimos podem estar sofrendo ataques desde o início da semana, afirmaram pesquisadores de segurança na sexta-feira (25/04).

Uma das possibilidades é que os sites estejam comprometidos por uma falha de segurança no servidor web da Microsoft - bug já informado aos engenheiros da empresa.

Algumas empresas, incluindo a Websense, revelaram que os sites estavam comprometidos com ataques que usam técnicas de injeção SQL. O mesmo tipo de invasão tem sido detectado desde o início do ano.

Embora a Panda Security tenha contabilizado 282 mil sites comprometidos, a F-Secure disse que as páginas infectadas somam 500 mil.

O executivo Ryan Sherstobitoff, da Panda, disse que reportou à Microsoft um problema com o servidor web Internet Information Services (IIS), supostamente responsável pelas invasões. “Não temos, contudo, detalhes específicos para afirmar que a questão de segurança é uma vulnerabilidade”, disse Sherstobitoff.

A Microsoft já divulgou um documento de segurança no qual afirma que investiga reclamações públicas de problemas com o IIS. “Este bug parece ter relação com o documento”, diz o executivo.

O documento, publicado no dia 17 de abril, alertou os usuários sobre uma falha na maioria das versões do Windows, que podia ser explorada por meio de aplicações online rodando no IIS.

A Microsoft também afirma que a falha pode ser explorada por um servidor SQL. A empresa afirmou na sexta-feira (25/04), contudo, não saber se os ataques destes sites tinham relação ao bug descrito no documento.

Apesar de não estar claro como os crackers estão comprometendo tantos sites, os pesquisadores entendem o que acontece após um site ser infectado. Após ser visitado, um JavaScript malicioso carrega o IFRAME de um servidor malicioso, que direciona o browser a outro site, também hospedado no servidor do cracker.

Em seguida, um kit de ataque múltiplo é baixado para o PC da vítima - este kit tenta oito códigos para explorar falhas e, se um funcionar, ele sequestra o sistema.

Não há conselhos úteis para os usuários. O melhor deles, que é desabilitar a função JavaScript - que os protegeria destes ataques -, é o de mais difícil adoção, pois muitos sites são exibidos incorretamente sem o JavaScript.