I løbet af sommerferien er der plantet skadelig kode på et stort antal danske websteder, som efterfølgende spreder malware videre til brugerne. Det fortæller sikkerhedsfirmaet CSIS. De skadelige programmer misbruger blandt andet en helt ny sårbarhed i Office Web Komponenter ActiveX-kontrollen. Denne sårbarhed er blevet nødlappet med Microsofts egen sikkerheds-opdatering MS09-032.
Men brugere, som ikke har installeret denne patch, kan risikere at få computeren inficeret med malware hvis man besøger et af de ramte websteder. Og fordi der er tale om en helt ny sårbarhed, vil der formentlig være ganske mange brugere, som endnu ikke har fået lukket hullet.
Sommerferien kan gøre problemet endnu værre, for mange hjemmeside-ejere opdager sandsynligvis først efter ferien, at deres hjemmeside er misbrugt til at sprede malware.
»Vi har igennem de seneste dage forsøgt at opnå kontakt til de implicerede webside ejere for at bede dem udbedre problemet. Mange er desværre på sommerferie, andre har reageret på vores henvendelser og er blevet fjernet fra listen over skadelige websider,« fortæller CSIS.
Det er ikke kun små, private hjemmesider, der misbruges til at sprede skadelig kode. En dansk hacker fortæller, at de fleste større danske hjemmesider indeholder mindst et sikkerhedshul, der kan misbruges til cross site scripting (XSS). Listen over danske hjemmesider med sårbarheder, som ComON har modtaget, omfatter bl.a. flere af de største online-medier, teleselskaber og et ministerium.
Med XSS kan man udnytte huller i hjemmesidens dynamiske kode til at plante sine egne scripts, der videreleder brugeren til en side med malware.
»Det som bekymrer mig allermest er, om de hjemmesider jeg har sendt mails til (udover nogle få) rent faktisk har tænkt sig at gøre noget ved sikkerhedshullerne. Det er også meget nedtrykkende at vide, at det er ca. 8 ud af 10 danske hjemmesider som indeholder sikkerhedshuller,« skriver hackeren i en mail til ComON. Hans identitet er redaktionen bekendt.
De eneste hjemmesider som er helt fri for denne form for sårbarheder er netbanker og store offentlige tjenester som Borger.dk og Virk.dk, fortæller han.
»Men hvor kommer sikkerhedshullerne fra? De kommer fra udviklerne som skriver usikker kode. Funktionaliteten og designet kan være helt i top, men hvis der ikke er nogen sikker kode-udvikling går det galt. Jeg har dog tit hørt at rigtig mange virksomheder ikke vil fokusere på sikker kode, fordi det er for dyrt og tager for lang tid, men slut-resultatet er jo at en hacker, enten på den gode eller onde side finder sikkerhedshullet og så selv vælger hvad denne vil bruge det til senere hen,« konstaterer hackeren.
