Ataki za pośrednictwem poczty e-mail wykorzystują lukę w zabezpieczeniach witryny Yahoo w celu przejęcia kont

Hakerzy za niedawno wykrytą kampanię ataków za pośrednictwem poczty e-mail wykorzystują lukę w zabezpieczeniach witryny Yahoo w celu przejęcia kont e-mail użytkowników Yahoo i używaj ich do spamu, według analityków bezpieczeństwa od producenta oprogramowania antywirusowego Bitdefender.

Atak rozpoczyna się od tego, że użytkownicy otrzymują wiadomość e-mail ze spamem z ich nazwą w wierszu tematu i krótkim wiadomością "sprawdź tę stronę", po której następuje nieco. połączyć. Kliknięcie tego linku przenosi użytkowników do strony internetowej podszywającej się pod witrynę informacyjną MSNBC, która zawiera artykuł na temat zarabiania pieniędzy podczas pracy w domu. Naukowcy Bitdefender powiedzieli w środę w poście na blogu.

Na pierwszy rzut oka wydaje się, że to się nie zmienia z innych witryn oszustw związanych z pracą w domu. Jednak w tle fragment kodu JavaScript wykorzystuje lukę XSS (cross-site scripting) w witrynie Yahoo Developer Network (YDN) w celu kradzieży pliku cookie sesji użytkownika Yahoo.

[Czytaj dalej: usuń złośliwe oprogramowanie z komputera z systemem Windows]

Jak to działa

Pliki cookie sesji to unikatowe ciągi tekstu przechowywane przez witryny w przeglądarkach w celu zapamiętania zalogowanych użytkowników do momentu wylogowania. Przeglądarki internetowe używają mechanizmu bezpieczeństwa o nazwie zasady tego samego pochodzenia, aby uniemożliwić stronom otwieranym na różnych kartach dostęp do zasobów drugiej strony, takich jak pliki cookie sesji.

Zasady tego samego pochodzenia są zazwyczaj wymuszane na domenę. Na przykład google.com nie może uzyskać dostępu do plików cookie sesji dla domeny yahoo.com, mimo że użytkownik może być zalogowany do obu witryn jednocześnie w tej samej przeglądarce. Jednak w zależności od ustawień plików cookie subdomeny mogą uzyskiwać dostęp do plików cookie sesji ustawionych przez ich domeny nadrzędne.

Wygląda na to, że dzieje się tak w przypadku Yahoo, w którym użytkownik pozostaje zalogowany bez względu na to, do której subdomeny Yahoo odwiedza, w tym developer.yahoo. com.

Nieuczciwy kod JavaScript załadowany z fałszywej witryny MSNBC zmusza przeglądarkę odwiedzającego do wywołania programisty.yahoo.com ze specjalnie spreparowanym adresem URL, który wykorzystuje lukę XSS i wykonuje dodatkowy kod JavaScript w kontekście programisty.yahoo. poddomena com.

Ten dodatkowy kod JavaScript odczytuje plik cookie sesji użytkownika Yahoo i przesyła go do witryny kontrolowanej przez atakujących. Plik cookie jest następnie wykorzystywany do uzyskiwania dostępu do konta e-mail użytkownika i wysyłania wiadomości spamowej do wszystkich swoich kontaktów. W pewnym sensie jest to robak robiący wiadomości e-mail oparty na XSS.

Wykorzystana luka XSS jest faktycznie umieszczona w komponencie WordPress o nazwie SWFUpload i została załatana w WordPress w wersji 3.3.2, która została wydana w kwietniu 2012 roku. Badacze Bitdefender powiedzieli. Jednak witryna blogu YDN wydaje się używać przestarzałej wersji WordPressa.

Jak uniknąć problemów

Po odkryciu ataku w środę, badacze Bitdefender przeszukali bazę danych spamu firmy i znaleźli bardzo podobne wiadomości miesiąc, powiedział Bogdan Botezatu, starszy analityk ds. e-zagrożenia w Bitdefender, w czwartek za pośrednictwem poczty elektronicznej.

"Bardzo trudno jest oszacować wskaźnik sukcesu takiego ataku, ponieważ nie można go zobaczyć w sieci czujników," powiedziany. "Szacujemy jednak, że mniej więcej jeden procent spamu, który przetworzyliśmy w ubiegłym miesiącu, jest spowodowany przez ten incydent."

Bitdefender zgłosił w środę lukę w zabezpieczeniach Yahoo, ale nadal wydawało się, że można ją wykorzystać w czwartek, powiedział Botezatu. "Niektóre z naszych kont testowych wciąż wysyłają ten konkretny rodzaj spamu", powiedział.

W oświadczeniu wysłanym później w czwartek Yahoo stwierdziło, że naprawiło lukę.

"Yahoo bierze dane o bezpieczeństwie i naszych użytkowników poważnie ", powiedział przedstawiciel Yahoo za pośrednictwem poczty elektronicznej. "Niedawno dowiedzieliśmy się o luce w zabezpieczeniach od zewnętrznej firmy ochroniarskiej i potwierdzamy, że naprawiliśmy lukę w zabezpieczeniach. Zachęcamy zainteresowanych użytkowników do zmiany haseł na silne hasło, które łączy litery, cyfry i symbole oraz aby umożliwić drugie logowanie w ustawienia swojego konta. "

Botezatu zalecił użytkownikom unikanie klikania linków otrzymywanych pocztą e-mail, zwłaszcza jeśli są one skracane bit.ly. Ustalenie, czy link jest szkodliwy przed jego otwarciem, może być trudne przy takich atakach, powiedział.

W tym przypadku wiadomości pochodziły od osób, które użytkownicy znali - nadawcy znajdowali się na ich listach kontaktów - i złośliwa strona był dobrze zaprojektowany, by wyglądać jak szanowany portal MSNBC, powiedział. "Jest to rodzaj ataku, który spodziewamy się odnieść duży sukces."

Botezatu zalecił użytkownikom unikanie klikania linków otrzymywanych pocztą e-mail, zwłaszcza jeśli są one skracane bit.ly. Ustalenie, czy link jest szkodliwy przed jego otwarciem, może być trudne w przypadku takich ataków, powiedział.

W tym przypadku wiadomości pochodziły od osób, które znali użytkownicy - nadawcy znajdowali się na ich listach kontaktów - a złośliwa strona była dobrze znana. - powiedział, że ma wyglądać na szanowany portal MSNBC. "Jest to rodzaj ataku, który spodziewamy się bardzo pomyślnie."

Zaktualizowano 1/31/2013 z komentarzami Yahoo