Um pesquisador da Symantec publicou na última quinta-feira (15/02) informações sobre um novo tipo de ataque que ele chama de Drive-By Pharming. O ataque permite que um invasor modifique as configurações do roteador ou modem ADSL da vítima se uma página web maliciosa for aberta. Para se proteger, basta alterar a senha do modem ou roteador para qualquer outra diferente da padrão.

De acordo com a Symantec, o perigo maior está na possibilidade da modificação dos servidores DNS utilizados pelos roteadores. Em muitas redes domésticas, o modem é que envia as informações de DNS para os computadores, o que significa que, comprometendo o roteador, todos os computadores da rede seriam afetados.

O DNS (Domain Name System) é o sistema da Internet responsável por direcionar o computador ao site correto quando o usuário digita um endereço (www.linhadefensiva.org). Se um criminoso obtiver sucesso ao executar o Drive-By Pharming, o usuário pode ser redirecionado para sites falsos ao digitar o endereço de bancos, por exemplo, de modo que toda informação enviada (inclusive as senhas) sejam recebidas pelo criminoso.

Para que a página web maliciosa consiga alterar as configurações do modem, este deve estar configurado com a senha padrão de fábrica. Como a configuração de muitos roteadores não pode ser acessada pela Internet, muitos acreditam que esta senha não precisa ser mudada. Isto, de acordo com a Symantec, é o que contribui para que o ataque funcione.

Se o modem estiver com a senha padrão, basta que o usuário visite uma página web maliciosa. Usando uma técnica chamada de Cross Site Request Forgery (CSRF), o site malicioso pode instruir o computador do usuário a acessar o modem e modificar as configurações. Nenhuma falha de segurança é explorada, apenas um erro de configuração (a senha vulnerável).

A técnica foi desenvolvida pelo pesquisador da Symantec Zulfikar Ramzan em conjunto com Sid Stamm e Markus Jakobsson da School of Informatics da Universidade de Indiana.