Gaura de fișiere Yahoo care a permis deturnarea conturilor de e-mail

Hackerii din spatele unei campanii de atac recent detectate prin e-mail exploatează o vulnerabilitate pe un site web Yahoo pentru a deturna conturile de e-mail ale utilizatorilor Yahoo și pentru a le folosi pentru spam, potrivit cercetătorilor de securitate de la distribuitorul de antivirus Bitdefender

Atacul începe cu faptul că utilizatorii primesc un e-mail spam cu numele lor în linia de subiect și un scurt mesaj "check out this page" urmat de un link bit.ly scurtat. Clicând pe link, utilizatorii se adresează unui site web care se comportă ca site de știri MSNBC care conține un articol despre cum să câștigi bani în timp ce lucrezi acasă, au declarat cercetătorii de la Bitdefender miercuri într-un post pe blog.

La prima vedere, de la alte site-uri înșelătoare de la locul de muncă. Cu toate acestea, în fundal, o bucată de cod JavaScript exploatează o vulnerabilitate de scripting încrucișată (XSS) în site-ul blogului Yahoo Developer Network (YDN) pentru a fura cookie-ul de sesiune al vizitatorilor Yahoo.

eliminați malware-ul de pe PC-ul dvs. Windows]

Cookie-urile pentru sesiuni deschise

Cookie-urile pentru sesiuni sunt șiruri unice de text stocate de site-urile web din browsere, pentru a vă aminti utilizatorii conectați până când se deconectează. Browserele web utilizează un mecanism de securitate numit politică de aceeași origine pentru a împiedica accesarea site-urilor deschise în diferite file de resursele reciproce, cum ar fi cookie-urile de sesiune. (De asemenea, cum să vă protejați de supercookies.)

Politica de același tip este, de obicei, aplicată pe domeniu. De exemplu, google.com nu poate accesa cookie-urile de sesiune pentru yahoo.com, chiar dacă utilizatorul ar putea fi conectat la ambele În același timp, în funcție de setările cookie-urilor, subdomenii pot accesa modulele cookie de sesiune stabilite de domeniile lor părinte.

Acest lucru pare să fie cazul în cazul în care utilizatorul rămâne conectat, indiferent de ce Subdomeniul Yahoo pe care îl vizitează, inclusiv developer.yahoo.com

Codul JavaScript necinstit încărcat de pe site-ul fals de la MSNBC obligă browserul vizitatorului să apeleze developer.yahoo.com cu o adresă URL special creată care exploatează vulnerabilitatea XSS și execută JavaScript suplimentar cod în contextul subdomeniului developer.yahoo.com

Acest cod JavaScript suplimentar citește cookie-ul de sesiune al utilizatorului Yahoo și îl încarcă pe un site web controlat de atacatori. Cookie-ul este apoi folosit pentru a accesa utilizarea r și expediați e-mailurile spam tuturor contactelor acestora. Într-un sens, acesta este un vierme de e-mail de tip XSS, care se propagă.

vulnerabilitatea XSS exploatată este localizată într-o componentă WordPress numită SWFUpload și a fost patch-uri în WordPress versiunea 3.3.2 care a fost lansată în aprilie 2012; Au declarat cercetatorii de la Bitdefender. Cu toate acestea, site-ul Blog YDN pare sa utilizeze o versiune invechita a WordPress.

Exploit a raportat, a scuturat

Dupa ce a descoperit atacul miercuri, cercetatorii Bitdefender au cautat baza de date spam a companiei si au gasit mesaje foarte asemanatoare luni, a declarat Bogdan Botezatu, analist senior la Bitdefender, joi prin e-mail.

"Este extrem de dificil de estimat rata de succes a unui astfel de atac, deoarece nu poate fi vazut in reteaua de senzori", a spus el a spus. "Cu toate acestea, estimăm că aproximativ un procent din spam-ul pe care l-am procesat în ultima lună este cauzat de acest incident."

Bitdefender a raportat miercuri vulnerabilitatea la Yahoo, dar părea să fie exploatabilă joi, a spus Botezatu. "Unele dintre conturile noastre de testare trimit încă acest tip specific de spam", a afirmat el.

Într-o declarație trimisă mai târziu joi, Yahoo a spus că a făcut patch-uri vulnerabilității

"Yahoo ia securitatea și datele utilizatorilor noștri serios ", a declarat un reprezentant al Yahoo prin e-mail. "Am aflat recent despre vulnerabilitatea unei firme de securitate externe și confirmăm că am rezolvat vulnerabilitatea. Îi încurajăm pe utilizatorii interesați să-și schimbe parolele la o parolă puternică care combină literele, numerele și simbolurile și pentru a permite cea de-a doua provocare de conectare setările contului lor. "

Botezatu ia sfătuit pe utilizatori să evite accesul pe link-urile primite prin e-mail, mai ales dacă sunt scurtate cu bit.ly. Determinarea faptului dacă un link este rău intenționat înainte de deschidere poate fi greu cu atacuri ca acestea, a spus el.

În acest caz, mesajele provin de la oameni pe care utilizatorii știau - expeditorii erau în listele lor de contacte - - creat pentru a arata ca portalul respectabil MSNBC, a spus el. "Este un tip de atac pe care ne așteptăm să îl avem cu mare succes."