Computerworld News Service: Microsoft Corp. udsendte i torsdags en sikkerhedsadvarsel, der påpeger en række huller i Windows, og siger, at de arbejder døgnet rundt for at udbedre fejlene.
Men for mange, er det allerede for sent. Sikkerhedseksperter siger, at hackerne har øget antallet af angreb, hvor de bruger inficerede PDF-filer, der udnytter sikkerhedsbristen.
Det finske F-Secure Corp. kaldte forøgelsen af spam-mails med de inficerede PDF-filer for massiv, og sagde, at de fortsætter med uformindsket styrke.
Ken Dunham, fra ISight Partners Inc., bekræftede, at antallet af spam-mail steg fredag.
"PDF-angrebene kommer lige tids nok til weekenden," skrev han i en e-mail.
Angrebene, der begyndte tirsdag, udnytter svagheder i Windows versionen af Adobes Reader og Acrobat-softwaren.
Adobe har opdateret de seneste udgaver, men har endnu ikke udsendt opdateringer til de ældre udgaver af programmerne.
Ifølge Ken Dunham og andre eksperter, er det Russian Business network, der står bag PDF-angrebene.
Når brugeren åbner en inficeret PDF-fil, installeres der en trojansk hest, download-programmer og rootkits, der går uden om Windows firewall og installerer kode, der opfanger al kommunikation, som tastes ind på SSL-sikrede formularer på internettet.
De opsamlede informationer sendes efterfølgende til Russian Business Network.
Microsoft har udsendt deres advarsel, fordi firmaet opdagede, hvad de kalder et "rimeligt begrænset" antal angreb med PDF-filer, siger Bill Sisk fra Microsoft security response team.
"I løbet af ugen blev vi opmærksomme på en offentliggjort kode, der blev anvendt i et begrænset antal angreb på vores kunder. Det har betydet, at vi er gået over til vores Software Security Incident Response Plan (SSIRP). Microsofts SSIRP videregiver deres opdagelser til sikkerhedseksperter og andre softwareproducenter, og arbejder døgnet rundt på en løsning".
Årsagen til at Microsoft involverer sig er, at selvom det er PDF-filerne, der er inficeret, så ligger fejlen i Windows XP og Windows Server 2003-programmerne, ikke i Adobes, siger Bill Sisk.
"Sårbarheden, der nævnes i denne opdatering, findes i ShellExecute-funktionen. Disse tredjehånds-opdateringer [så som Adobe-opdateringen] fjerner ikke sårbarheden, de lukker bare for en angrebsvinkel."
Hans indrømmelser er det tydeligste, der er blevet sagt om sagen. Hvis Microsoft havde sikret sig mod angreb på deres URL-protokol håndtering, så havde det ikke været nødvendigt for Mozilla og Skype, og nu Adobe at udsende deres egne sikkerhedsopdateringer.
Hen over sommeren har sikkerhedseksperter diskuteret, hvem der var ansvarlig for svagheden i URL-protokol-håndteringen.
Microsoft benægtede, at deres software havde nogen del af skylden, indtil de udsendte den advarsel, som Bill Sisk refererede til, og sagde de ville reparere fejlen.
"Dette er muligvis første gang, Microsoft indrømmer, at denne fejl er forårsaget af en svaghed i Windows," siger Andrew Storm fra nCircle Network Security.
Selvom Microsoft ikke har offentliggjort nogen dato for udsendelsen af sikkerhedsopdateringen, forudser Andrew Storm, at det vil ske i november måned.
"De vil forsøge at være klar med den, inden deres normale november-opdatering."
Næste normale opdatering fra Microsoft udsendes den 13. november.
De nyeste angreb via PDF bliver sendt med forskellige overskrifter og filnavne til PDF-dokumenterne. I følge F-Secure indeholder emnefeltet blandt andre overskrifter som: "Your credit report", "Your Credit File" og "Personal Finance Statement."
Don Jackson fra SecureWorks Inc., sagde i sidste uge, at programmerne som Russian Business Network forsøger at inficere pc'erne med, sandsynligvis er en variant af Gozi, en trojansk virus, som han i februar anslog, havde kostet bankerne og kreditkortselskaberne 10 millioner kroner på grund af tyveri.
Gozi arbejder stadig på samme måde. Enhver information, der indtastes til en SSL-sikker formular, bliver opfanget og sendt til Russian Business Network, sagde Don Jackson.
I modsætning til i februar måned, hvor hackerne dummede sig og eksponerede de stjålne data på en server (en opdagelse Don Jackson gjorde), er omfanget af de nye angreb ukendt.
"De er blevet klogere på, hvor de skal gemme deres data." sagde han.
Hvis Don Jackson har ret i hans antagelser, om de russiske hackeres evner, vil alene de beløb, som de kan stjæle, få Microsoft til at udsende en opdatering.
"Disse fyre er dygtige. De er helt på højde med Windows kernel-programmørerne, når det gælder programmering. De er meget, meget talentfulde. Når de først har fået foden indenfor døren, så skubber de sig vej ind." sagde Don Jackson.
Oversat af Bo Madsen.
