E-mail vulnerabilità degli exploit degli attacchi nel sito di Yahoo per dirottare gli account

Gli hacker dietro una campagna di attacco e-mail recentemente rilevata stanno sfruttando una vulnerabilità in un sito Web di Yahoo per dirottare gli account e-mail degli utenti di Yahoo e li usa per lo spam, secondo i ricercatori di sicurezza del fornitore di antivirus Bitdefender.

L'attacco inizia con gli utenti che ricevono un messaggio di spam con il loro nome nella riga dell'oggetto e un breve messaggio "check out this page" seguito da un bit.ly accorciato collegamento. Cliccando sul link gli utenti visitano un sito Web mascherato da MSNBC che contiene un articolo su come guadagnare denaro lavorando da casa, i ricercatori di Bitdefender hanno detto mercoledì in un post sul blog.

A prima vista, questo non sembra diverso da altri siti di truffa work-from-home. Tuttavia, in sottofondo, un frammento di codice JavaScript sfrutta una vulnerabilità cross-site scripting (XSS) nel sito Blog di Yahoo Developer Network (YDN) per rubare il cookie della sessione Yahoo del visitatore.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Come funziona

I cookie di sessione sono stringhe di testo univoche memorizzate dai siti Web all'interno dei browser per ricordare gli utenti registrati fino a quando non si disconnettono. I browser Web utilizzano un meccanismo di sicurezza chiamato criterio della stessa origine per impedire ai siti web aperti in diverse schede di accedere alle rispettive risorse, come i cookie di sessione.

La politica di origine identica viene solitamente applicata per dominio. Ad esempio, google.com non può accedere ai cookie di sessione per yahoo.com anche se l'utente può accedere a entrambi i siti Web contemporaneamente nello stesso browser. Tuttavia, a seconda delle impostazioni dei cookie, i sottodomini possono accedere ai cookie di sessione impostati dai domini padre.

Questo sembra essere il caso di Yahoo, dove l'utente rimane connesso indipendentemente da quale sottodominio di Yahoo viene visitato, incluso developer.yahoo. com.

Il codice JavaScript errato caricato dal sito Web di MSNBC falso costringe il browser del visitatore a chiamare developer.yahoo.com con un URL appositamente predisposto che sfrutta la vulnerabilità XSS ed esegue codice JavaScript aggiuntivo nel contesto di developer.yahoo. com sottodominio.

Questo codice JavaScript aggiuntivo legge il cookie di sessione dell'utente di Yahoo e lo carica su un sito Web controllato dagli aggressori. Il cookie viene quindi utilizzato per accedere all'account e-mail dell'utente e inviare l'e-mail di spam a tutti i loro contatti. In un certo senso, si tratta di un worm di posta elettronica auto-propagante XSS.

La vulnerabilità XSS sfruttata si trova in realtà in un componente di WordPress chiamato SWFUpload ed è stata riparata in WordPress versione 3.3.2 rilasciata nell'aprile 2012, il I ricercatori di Bitdefender hanno detto. Tuttavia, il sito blog YDN sembra utilizzare una versione obsoleta di WordPress.

Come evitare guai

Dopo aver scoperto l'attacco di mercoledì, i ricercatori di Bitdefender hanno cercato il database di spam della compagnia e hanno trovato messaggi molto simili che risalgono a quasi un mese, ha detto Bogdan Botezatu, un analista senior di e-threat a Bitdefender, giovedì via e-mail.

"È estremamente difficile stimare il tasso di successo di un tale attacco perché non può essere visto nella rete di sensori", ha disse. "Tuttavia, stimiamo che all'incirca l'uno percento dello spam che abbiamo elaborato nell'ultimo mese sia causato da questo incidente."

Bitdefender ha segnalato la vulnerabilità a Yahoo mercoledì, ma è comunque sembrato essere sfruttabile giovedì, ha detto Botezatu. "Alcuni dei nostri account di test stanno ancora inviando questo tipo specifico di spam", ha detto.

In una dichiarazione inviata giovedì, Yahoo ha dichiarato che ha corretto la vulnerabilità.

"Yahoo prende i dati relativi alla sicurezza e ai nostri utenti sul serio ", ha detto un rappresentante di Yahoo via email. "Recentemente abbiamo appreso di una vulnerabilità di un'azienda di sicurezza esterna e confermiamo che abbiamo risolto la vulnerabilità Incoraggiamo gli utenti interessati a cambiare le loro password in una password complessa che combina lettere, numeri e simboli e ad abilitare la seconda sfida di accesso in le loro impostazioni dell'account. "

Botezatu consiglia agli utenti di evitare di fare clic sui collegamenti ricevuti via e-mail, soprattutto se sono abbreviati con bit.ly. Determinare se un collegamento è dannoso prima di aprirlo può essere difficile con attacchi come questi, ha detto.

In questo caso, i messaggi provenivano da persone che gli utenti conoscevano - i mittenti erano nei loro elenchi di contatti - e il sito dannoso era ben fatto per sembrare il rispettabile portale MSNBC, ha detto. "È un tipo di attacco che ci aspettiamo di avere molto successo."

Botezatu consiglia agli utenti di evitare di fare clic sui collegamenti ricevuti via e-mail, specialmente se sono abbreviati con bit.ly. Determinare se un collegamento è dannoso prima di aprirlo può essere difficile con attacchi come questi, ha detto.

In questo caso, i messaggi provenivano da persone che gli utenti conoscevano - i mittenti erano nei loro elenchi di contatti - e il sito dannoso era ben -realizzato per assomigliare al rispettabile portale MSNBC, ha detto. "È un tipo di attacco che ci aspettiamo di avere molto successo."

Aggiornato il 31/01/2013 con i commenti di Yahoo