A Flash Player egy ismert sérülékenysége és az AdSense közösen jó kis fertőzéscunamit generáltak. A G Data szerint több millió gép fertőződhetett meg. A probléma nerm új.

Mintegy két éve, a 2013-as Las Vegas-i Black Hat konferencia egyik legizgalmasabb bemutatója azt prezentálta, hogyan lehet mindössze néhány dollárnyi befektetéssel az online reklámok kiszolgálására felépített hálózatokból olyan botnetet építeni, amivel például elosztott szolgáltatásmegtagadási (DDoS) támadásokat lehet indítani, vagy akár jelszavak (hash-ek) visszafejtéséhez vagy akár vírusterjesztéshez lehet használni.

Tavaly már volt egy izmos incidens, ami a YouTube-ot, az Amazont és a Yahoo-t is érintette, idén év elején pedig a Google hirdetési rendszerét szemelték ki maguknak. Ráadásul mindössze két AdWords fiókon keresztül sikerült olyan malvertising jellegű támadást indítani, hogy sokáig a Google sem tudta kezelni.

Pedig a kereső óriás szigorúan őrködik hirdetési rendszerének biztonsága fölött. Egy idén februárban közzétett jelentése szerint tavaly több mint félmilliárd hirdetést blokkoltak, és több mint 200 ezer hirdetőt tiltottak ki a rendszerükből. A szabályok ráadásul szigorúak: ha a rendszer kártékony (malvertisingre utaló) hirdetést talál, azonnal blokkolja a hozzá tartozó AdWords fiókot is. De ettől még persze népszerűek a hirdetési rendszerek a támadók körében. Az ok kézenfekvő: a támadók ezeken keresztül egyszerre elér több millió internetezőt.

Most a Flash kavart be

A közelmúltban a G Data Exploit Protection nevű monitorozási rendszerében bukott ki, hogy hirtelen megugrottak az olyan támadások, melyek az Adobe Flash egy már ismert sérülékenységét próbálják kihasználni. Aztán hamarosan az is kiderült, hogy az incidens a Google AdSense-en keresztül jön. Ez már csak azért is figyelemre méltó, mert az AdSense, melyen keresztül bárki feladhat online hirdetéseket a Google hirdetésterítő hálózatában, szinte mindenhol ott van: például a világ az első százezer legnépszerűbb internetes oldalának 12 százaléka jelenít meg hirdetéseket a platformon keresztül.

Jelen esetben az Adobe Flash volt a ludas, mégpedig egy olyan sérülékenysége, melyet tavaly decemberben azonosítottak, és már a javító csomagja is megjelent.  De hogyan lehetett akkor ennyire kiterjedt a fertőzés? Természetesen a frissítés elmaradása miatt.

A G Data víruslaboratóriumának vezetője, Ralf Benzmüller ezzel kapcsolatban egy érdekes elméletet állított fel: szerint egy hibás elgondolás miatt nem frissítik a rendszereket: sokan úgy válik, hogy működő rendszerhez nem szabad hozzányúlni. Mi a magunk részéről inkább az egyszerű hanyagságra gyanakszunk.

Az Adobe sebezhetőségének kihasználásában a Nuclear exploit kit kapott szerepet. A támadás márciusban vált aktívvá, a G Data pedig április elején észlelte, hogy a kártevők terjesztését a Google AdSense-en keresztül.

Így működik a Nuclear

1. Egy weboldal helyet biztosít a felületén arra, hogy a Google AdSense rendszerén keresztül érkező hirdetések megjelenjenek.

2. Azt, hogy milyen hirdetést jelenjen meg ott, a Google AdSense szervere határozza meg egy Java szkript segítségével. Ez a szkript a megjelenítendő tartalmat egy hirdetési partner szerveréről tölti le, mely jelen esetben az engagelab.com oldal volt.

3. A tartalom kódja tartalmaz egy iFrame hivatkozást egy másik, fertőző szerver internetcímére.

Így az internetezők a weboldalon olyan hirdetésekkel találkoztak, melyek kitették őket a sérülékenységet kihasználó fertőzésnek.