17. August 2010

Das Widget "Small Business Success Index", das in erster Linie Tipps und Informationen für Kleinunternehmen liefert, wurde von Network Solutions selbst entwickelt und unter der Adresse GrowSmartBusiness.com angeboten. Wie die Recherchen von Armorize aber zeigen, war dieser Auftritt manipuliert und konnte von einem Unbekannten über eine Webshell "bearbeitet" werden.

Armorize bringt den Hack und das Widget mit einem weiteren Vorfall vor Monaten in Verbindung, bei dem Rechner von Network Solutions sowie auch geparkte Domains kompromitiert und für die Verbreitung von Malware genutzt wurden. Es ist daher nicht ausgeschlossen, dass die jetzt erst entdeckten Probleme schon seit Monaten bestehen.

Das Ausmaß des Angriffs ist dabei beachtlich, denn das Widget wurde nicht nur von tausenden Site-Betreibern und Bloggern auf den eigenen Seiten installiert. Nach einer stichprobenartigen Untersuchung kommt Armorize vielmehr zu dem Ergebnism, dass das Widget von Network Solutions regelmäßig auf den Seiten geparkter Domains eingerichtet wurde. Auch bei einer Domain, die das Sicherheitsunternehmen zu testzwecken kaufte und nach dem Standardverfahren für geparkte Domains einstellen ließ, fand sich das Malware-Widget wieder.

Womit laut Suchmaschinenergebnissen zwischen 5.000.000 (Google) und 5,9 Millionen Domains betroffen sein könnten. Network Solutions bestreitet den Vorfall in der Sache nicht, bezeichnet die Zahlenangaben aber als überhöht. Die von dem Widget "angebotene" Malware war wohl in erster Linie auf Sicherheitslücken des Microsoft Internet Explorers 6 ausgerichtet, der schon durch den Besuch einer geparkten Domain infiziert werden konnte.

Links:

• CNet
  
• Armorize