Hundratusentals webbplatser, inklusive de som ägs av Storbritanniens regering och FN, har hackats in och smittats med skadlig kod som försöker installera skadlig kod på besökarnas datorer.

Anfallarna rapporteras utnyttja en säkerhetsproblem i Microsofts webbservrar för Internet Information Services (IIS). Microsoft sa förra veckan att det undersökte rapporter om en oöverträffad fel i IIS-servrar, men var inte medveten om att någon försökte utnyttja svagheten vid den tiden.

Skadlig kod

Enligt online-säkerhetsfirman är F-Secure besökare på smittade webbplatser tyst omdirigerade via JavaScript till tre olika domäner som levererar skadlig kod. Dessa domäner försöker i åtta olika åtgångar att installera en online-spel-trojan på målmaskiner.

Även om attacken verkar vara begränsad till webbplatser som använder Microsoft IIS Web Server och Microsoft SQL Server, lägger F-Secure inte skylden ut för att vara föremål för Microsoft.

“Hittills har vi bara sett webbplatser som använder Microsoft IIS Web Server och Microsoft SQL Server som träffas. Observera att denna attack inte använder sårbarheter i något av dessa två applikationer. Vad som gör denna attack möjlig är dåligt skrivet ASP och ASPX (.net) -kod,” F-Secure sa i en uppdatering.