Luka w dziale Yahoo, która pozwalała na przejęcie kont e-mailowych

Hakerzy za niedawno wykrytą kampanię ataków za pośrednictwem poczty e-mail wykorzystują lukę w zabezpieczeniach witryny Yahoo w celu przejęcia kont e-mail użytkowników Yahoo i wykorzystania ich do rozsyłania spamu, zgodnie z badaniami antywirusowymi od producenta oprogramowania antywirusowego Bitdefender.

Atak rozpoczyna się od tego, że użytkownicy otrzymują wiadomość e-mail ze spamem z nazwą w wierszu tematu i krótkim wiadomością "sprawdź tę stronę", po której następuje nieco skrócony link. Kliknięcie tego linku przenosi użytkowników do strony internetowej podszywającej się pod witrynę informacyjną MSNBC, która zawiera artykuł na temat zarabiania pieniędzy podczas pracy w domu. Naukowcy Bitdefender powiedzieli w środę w poście na blogu.

Na pierwszy rzut oka wydaje się, że to się nie zmienia z innych witryn oszustw związanych z pracą w domu. Jednak w tle fragment kodu JavaScript wykorzystuje lukę XSS (cross-site scripting) w witrynie Yahoo Developer Network (YDN) w celu kradzieży pliku cookie sesji użytkownika Yahoo.

[Czytaj dalej: usuń złośliwe oprogramowanie z komputera z systemem Windows]

Otwarte ciasteczka sesji

Sesyjne pliki cookie to wyjątkowe ciągi tekstu przechowywane przez witryny w przeglądarkach w celu zapamiętania zalogowanych użytkowników do momentu ich wylogowania. Przeglądarki internetowe używają mechanizmu bezpieczeństwa o nazwie zasady tego samego pochodzenia, aby uniemożliwić stronom otwieranym na różnych kartach dostęp do zasobów drugiej strony, takich jak pliki cookie sesji. (Zobacz także Jak chronić się przed superpotaskami. ")

Zasady tej samej reguły są zazwyczaj wymuszane na domenę. Na przykład google.com nie może uzyskać dostępu do plików cookie sesji dla domeny yahoo.com, mimo że użytkownik może być zalogowany do obu strony internetowe w tym samym czasie w tej samej przeglądarce, jednak w zależności od ustawień plików cookie subdomeny mogą uzyskiwać dostęp do plików cookie sesji ustawionych przez ich domeny nadrzędne.

Wydaje się, że tak jest w przypadku Yahoo, w którym użytkownik pozostaje zalogowany bez względu na to, Poddomena Yahoo, którą odwiedzają, w tym developer.yahoo.com.

Nieuczciwy kod JavaScript załadowany z fałszywej strony MSNBC zmusza przeglądarkę odwiedzającego do wywołania developer.yahoo.com ze specjalnie spreparowanym adresem URL, który wykorzystuje lukę XSS i wykonuje dodatkowy JavaScript kod w kontekście poddomeny developer.yahoo.com.

Ten dodatkowy kod JavaScript odczytuje ciasteczko sesji użytkownika Yahoo i przesyła je do witryny kontrolowanej przez atakujących. Plik cookie jest następnie używany w celu uzyskania dostępu do r konto e-mail i wyślij spam do wszystkich swoich kontaktów. W pewnym sensie jest to robak robiący wiadomości e-mail oparty na XSS.

Wykorzystana luka XSS jest faktycznie umieszczona w komponencie WordPress o nazwie SWFUpload i została załatana w WordPress w wersji 3.3.2, która została wydana w kwietniu 2012 roku. Badacze Bitdefender powiedzieli. Jednak witryna blogu YDN wydaje się używać przestarzałej wersji WordPressa.

Zgłaszane exploity, zgniecione

Po odkryciu ataku w środę, badacze Bitdefender przeszukiwali bazę danych spamu firmy i znaleźli bardzo podobne wiadomości miesiąc, powiedział Bogdan Botezatu, starszy analityk ds. e-zagrożenia w Bitdefender, w czwartek za pośrednictwem poczty elektronicznej.

"Bardzo trudno jest oszacować wskaźnik sukcesu takiego ataku, ponieważ nie można go zobaczyć w sieci czujników," powiedziany. "Szacujemy jednak, że mniej więcej jeden procent spamu, który przetworzyliśmy w ubiegłym miesiącu, jest spowodowany przez ten incydent."

Bitdefender zgłosił w środę lukę w zabezpieczeniach Yahoo, ale nadal wydawało się, że można ją wykorzystać w czwartek, powiedział Botezatu. "Niektóre z naszych kont testowych wciąż wysyłają ten konkretny rodzaj spamu", powiedział.

W oświadczeniu wysłanym później w czwartek Yahoo stwierdziło, że naprawiło lukę.

"Yahoo bierze dane o bezpieczeństwie i naszych użytkowników poważnie ", powiedział przedstawiciel Yahoo za pośrednictwem poczty elektronicznej. "Niedawno dowiedzieliśmy się o luce w zabezpieczeniach od zewnętrznej firmy ochroniarskiej i potwierdzamy, że naprawiliśmy lukę w zabezpieczeniach. Zachęcamy zainteresowanych użytkowników do zmiany haseł na silne hasło, które łączy litery, cyfry i symbole oraz aby umożliwić drugie logowanie w ustawienia swojego konta. "

Botezatu zalecił użytkownikom unikanie klikania linków otrzymywanych pocztą e-mail, zwłaszcza jeśli są one skracane bit.ly. Ustalenie, czy link jest szkodliwy przed jego otwarciem, może być trudne w przypadku takich ataków, powiedział.

W tym przypadku wiadomości pochodziły od osób, które znali użytkownicy - nadawcy znajdowali się na ich listach kontaktów - a złośliwa strona była dobrze znana. - powiedział, że ma wyglądać na szanowany portal MSNBC. "Jest to rodzaj ataku, który spodziewamy się bardzo dobrze."