Car-tech

Yahoo plug-hole che consentiva il dirottamento degli account di posta elettronica

My Friend Irma: Aunt Harriet to Visit / Did Irma Buy Her Own Wedding Ring / Planning a Vacation

My Friend Irma: Aunt Harriet to Visit / Did Irma Buy Her Own Wedding Ring / Planning a Vacation

Sommario:

Anonim

Gli hacker dietro una campagna di attacco email rilevata di recente stanno sfruttando una vulnerabilità in un sito Web di Yahoo per dirottare gli account e-mail degli utenti di Yahoo e utilizzarli per lo spam, secondo i ricercatori di sicurezza del fornitore di antivirus Bitdefender.

L'attacco inizia con gli utenti che ricevono un'email di spam con il loro nome nella riga dell'oggetto e un breve messaggio "check out this page" seguito da un link bit.ly abbreviato. Cliccando sul link gli utenti visitano un sito Web mascherato da MSNBC che contiene un articolo su come guadagnare denaro lavorando da casa, i ricercatori di Bitdefender hanno detto mercoledì in un post sul blog.

A prima vista, questo non sembra diverso da altri siti di truffa work-from-home. Tuttavia, in sottofondo, un frammento di codice JavaScript sfrutta una vulnerabilità cross-site scripting (XSS) nel sito Blog di Yahoo Developer Network (YDN) per rubare il cookie della sessione Yahoo del visitatore.

[Ulteriori informazioni: Come rimuovi i malware dal tuo PC Windows]

I cookie di sessione aprono la porta

I cookie di sessione sono stringhe di testo univoche archiviate dai siti Web all'interno dei browser per ricordare gli utenti che hanno effettuato l'accesso fino a quando non si disconnettono. I browser Web utilizzano un meccanismo di sicurezza chiamato criterio della stessa origine per impedire ai siti web aperti in diverse schede di accedere alle rispettive risorse, come i cookie di sessione. (Vedi anche Come proteggersi dai Supercookies. ")

La norma della stessa origine viene di solito applicata per dominio. Ad esempio, google.com non può accedere ai cookie di sessione per yahoo.com anche se l'utente può accedere a entrambi siti Web allo stesso tempo nello stesso browser, tuttavia, a seconda delle impostazioni dei cookie, i sottodomini possono accedere ai cookie di sessione impostati dai rispettivi domini padre.

Questo sembra essere il caso di Yahoo, dove l'utente rimane connesso indipendentemente da quale Visitano il sottodominio di Yahoo, incluso developer.yahoo.com.

Il codice JavaScript errato caricato dal sito Web di MSNBC fa sì che il browser del visitatore chiami developer.yahoo.com con un URL appositamente predisposto che sfrutta la vulnerabilità XSS ed esegue JavaScript aggiuntivo codice nel contesto del sottodominio developer.yahoo.com

Questo codice JavaScript aggiuntivo legge il cookie di sessione dell'utente di Yahoo e lo carica su un sito Web controllato dagli hacker, che viene quindi utilizzato per accedere all'utilizzo r l'account e-mail e invia l'e-mail di spam a tutti i loro contatti. In un certo senso, si tratta di un worm di posta elettronica auto-propagante XSS.

La vulnerabilità XSS sfruttata si trova in realtà in un componente di WordPress chiamato SWFUpload ed è stata riparata in WordPress versione 3.3.2 rilasciata nell'aprile 2012, il I ricercatori di Bitdefender hanno detto. Tuttavia, il sito blog YDN sembra utilizzare una versione obsoleta di WordPress.

Exploit reported, squash

Dopo aver scoperto l'attacco di mercoledì, i ricercatori di Bitdefender hanno cercato nel database di spam della compagnia e hanno trovato messaggi molto simili che risalgono a quasi un mese, ha detto Bogdan Botezatu, un analista senior di e-threat a Bitdefender, giovedì via e-mail.

"È estremamente difficile stimare il tasso di successo di un tale attacco perché non può essere visto nella rete di sensori", ha disse. "Tuttavia, stimiamo che all'incirca l'uno percento dello spam che abbiamo elaborato nell'ultimo mese sia causato da questo incidente."

Bitdefender ha segnalato la vulnerabilità a Yahoo mercoledì, ma è comunque sembrato essere sfruttabile giovedì, ha detto Botezatu. "Alcuni dei nostri account di test stanno ancora inviando questo tipo specifico di spam", ha detto.

In una dichiarazione inviata giovedì, Yahoo ha dichiarato che ha corretto la vulnerabilità.

"Yahoo prende i dati relativi alla sicurezza e ai nostri utenti sul serio ", ha detto un rappresentante di Yahoo via email. "Recentemente abbiamo appreso di una vulnerabilità di un'azienda di sicurezza esterna e confermiamo che abbiamo risolto la vulnerabilità Incoraggiamo gli utenti interessati a cambiare le loro password in una password complessa che combina lettere, numeri e simboli e ad abilitare la seconda sfida di accesso in le loro impostazioni dell'account. "

Botezatu consiglia agli utenti di evitare di fare clic sui collegamenti ricevuti via e-mail, soprattutto se sono abbreviati con bit.ly. Determinare se un collegamento è dannoso prima di aprirlo può essere difficile con attacchi come questi, ha detto.

In questo caso, i messaggi provenivano da persone che gli utenti conoscevano - i mittenti erano nei loro elenchi di contatti - e il sito dannoso era ben -realizzato per assomigliare al rispettabile portale MSNBC, ha detto. "È un tipo di attacco che ci aspettiamo di avere molto successo."