Le Los Angeles Times a nettoyé son site Web du code malveillant qui a diffusé des exploits de navigateur et des logiciels malveillants à potentiellement des centaines de milliers de lecteurs au cours des six dernières semaines.
Le 7 février, BreachTrace a appris de deux lecteurs différents qu’un sous-domaine du site d’actualités du LA Times (offersanddeals.latimes.com) redirigeait silencieusement les visiteurs vers un site Web tiers modernisé avec le kit d’exploit Blackhole. je me suis empressé demandé mes abonnés sur Twitter s’ils avaient vu des indications que le site a été compromis, et en peu de temps entendu de Jindrich Kubec directeur du renseignement sur les menaces dans une société de sécurité tchèque Avast.
Kubec a vérifié la télémétrie d’Avast avec sa base d’utilisateurs et a découvert que le même sous-domaine du LA Times redirigeait effectivement les visiteurs vers un kit d’exploitation Blackhole, et que les données montraient que cela se passait depuis au moins le 23 décembre 2012.
Contactée par e-mail, la porte-parole du LA Times Hillary Manning a initialement déclaré qu’un petit nombre d’utilisateurs essayant d’accéder à un sous-domaine du site avaient reçu un avertissement de script malveillant les 2 et 3 février. Mais Manning a déclaré que c’était le résultat de un problème dans l’échange d’annonces display de Googlepas une attaque de malware sur le site de l’entreprise.
« Le LA Times, ainsi que des dizaines d’autres utilisateurs d’échange d’annonces Google, dont le New York Times, le Guardian, CNET, Huffington Post et ZDNet, ont été, à des degrés divers, bloqués par des avertissements de script malveillants », a écrit Manning dans un e-mail à BreachTrace. . « Les sections impactées de notre site ont été rapidement nettoyées et il n’y a jamais eu de danger pour les utilisateurs. »
Malheureusement, Avast et d’autres continué à détecter les exploits provenant du site d’actualités. Manning a par la suite reconnu que le problème de la publicité display de Google était un incident séparé et distinct, et que l’équipe technique de la publication travaillait pour résoudre le problème.
On ne sait pas combien de lecteurs ont pu être touchés par l’attaque, qui semble avoir été limitée à la page Offres et offres du site Web latimes.com. Entreprise de métriques de site Alexa.com dit cette partie du site du journal reçoit environ 0,12 % du trafic global du site, ce qui selon la parution est d’environ 18 millions de visiteurs uniques par mois. En supposant que le site ait été compromis du 23 décembre 2012 à la deuxième semaine de février 2013, quelque 324 000 lecteurs du LA Times ont probablement été exposés à l’attaque.
Les experts en sécurité préviennent que l’incident du LA Times est malheureusement trop courant. Un rapport publié cette semaine par une société de sécurité et d’antivirus Sophos trouvé ça 80 % des sites Web sur lesquels l’entreprise détecte du contenu malveillant sont des sites innocents et légitimes qui ont été piratés.
Selon Sophos, une fois que les attaquants ont trouvé un moyen d’injecter du contenu dans un site Web, le reste de l’intrusion suit un script familier : les attaquants ajoutent un contenu malveillant (généralement des extraits de code JavaScript) qui génèrent des liens vers les pages de leur site Blackhole. . Lorsque des utilisateurs sans méfiance visitent le site légitime, leurs navigateurs extraient également automatiquement le code du kit d’exploitation du serveur Blackhole.
« Une fois que votre navigateur aspire le contenu du kit d’exploitation du serveur Blackhole, l’attaque commence », a écrit la société dans son dernier rapport de menace (PDF). « Le code d’exploitation, généralement JavaScript, fonctionne d’abord et enregistre comment votre navigateur est arrivé sur le serveur Blackhole. Cela identifie les affiliés qui génèrent le trafic en premier lieu, afin qu’ils puissent être payés comme des affiliés dans l’économie légitime. Ensuite, les empreintes digitales du code d’exploitation, ou profils, de votre navigateur pour identifier le système d’exploitation que vous utilisez, la version de votre navigateur et si vous avez installé des plug-ins pour Flash, des fichiers PDF, des applets Java, etc.
Les visiteurs malchanceux qui parcourent la page piratée avec des plugins obsolètes verront leur PC infecté par un logiciel malveillant choisi par l’attaquant.
L’attaque du LA Times met en évidence les défis de sécurité quotidiens auxquels sont confrontés les propriétaires de sites Web et les internautes. Garder votre navigateur et votre système d’exploitation à jour avec les derniers correctifs est un bon début, mais cela ne suffit pas pour assurer votre sécurité sur le Web aujourd’hui.
Je recommande aux utilisateurs de supprimer les plug-ins inutiles et bogués comme Java, et d’utiliser des outils pour bloquer l’exécution automatique de Javascript, ce qui devrait neutraliser la plupart de ces attaques de kits d’exploitation. Consultez mon introduction « Outils pour un PC plus sûr » pour plus de détails sur la façon de résoudre ce problème. De plus, les propriétaires de sites Web doivent faire leur part pour assurer la sécurité de leurs sites. Ars Technica a récemment publié une introduction lisible et utile sur les principaux pièges qui mènent au piratage des sites Web.
Mise à jour, 13 h 17 HE : En réponse à cette histoire, le Los Angeles Times vient de publier la déclaration suivante : « Le 6 février, le Los Angeles Times a été informé que des logiciels malveillants étaient peut-être servis par OffersandDeals.latimes.com. Nous avons rapidement déterminé que le problème était contenu dans le sous-domaine Offres et offres, qui est géré par un tiers. Notre équipe médico-légale a entrepris ce qui est maintenant une enquête en cours et travaille en étroite collaboration avec le fournisseur pour recueillir des preuves entourant l’événement. Pour assurer la sécurité, la plate-forme Offres et offres a été reconstruite et sécurisée. Le sous-domaine ne génère que du contenu publicitaire et ne contient aucune information client. En tant que source fiable d’actualités et d’informations, le Times prend très au sérieux les questions de sécurité Internet et est heureux d’annoncer qu’aucun logiciel malveillant n’est actuellement détectable sur les offres et les offres.