Az e-mailes támadás kihasználja a Yahoo webhelyen a számlázási fiókok biztonsági rést

A hackerek egy nemrégiben bejelentett e-mail támadási kampány mögött vannak kihasználva a Yahoo weboldalának biztonsági rést a Yahoo-felhasználók e-mail fiókjainak lekérdezésére a titkosszolgálat biztonsági dolgozóinak szerint a víruskereső gyártója, a Bitdefender.

A támadás akkor kezdődik, amikor a felhasználók egy levélszemét-levél címet kapnak a nevükön a tárgysorban, és egy rövid "check out this page" üzenetet, majd egy kicsit rövidített link. A linkre kattintva a felhasználók az MSNBC hírcsatornájába maszkolva webhelyet tartalmaznak, amely cikket tartalmaz arról, hogyan lehet pénzt szerezni otthonról, a szerencsejátékosok szerint a Bitdefender kutatói szerint egy blogbejegyzést.

Első pillantásra ez nem tűnik másnak más otthoni munkahelyi átverés helyekről. Azonban a háttérben egy JavaScript-kód kódja kihasználja a Yahoo Developer Network (YDN) blog webhelyen kereszttelepítési parancsfájlokat (XSS), hogy ellopja a látogató Yahoo munkamenetét.

[További olvasmány: távolítsa el a rosszindulatú programokat a Windows számítógépről]

Hogyan működik

A munkamenet-cookie-k a böngészőkben tárolt webhelyek által tárolt szövegek egyedi karakterláncai annak érdekében, hogy emlékezzenek a bejelentkezett felhasználókra, amíg ki nem jelentkeznek. A webböngészők ugyanazt a származási házirendet használó biztonsági mechanizmust használják, amely megakadályozza, hogy a különböző lapokon megnyitott webhelyek hozzáférjenek egymás erőforrásaihoz, például a munkamenet-cookie-kat.

Azonos származási házirendet általában domainenként érvényesítik. Például a google.com nem érheti el a munkamenet cookie-jait a yahoo.com webhelyen, annak ellenére, hogy a felhasználó egyszerre ugyanabban a böngészőben mindkét webhellyel bejelentkezhet. A cookie-beállításoktól függően azonban az aldomainek elérhetik a szülői domain-ek által beállított munkamenet-cookie-kat.

Ez úgy tűnik, hogy a Yahoo azon az oldalon van, ahol a felhasználó továbbra is bejelentkezett, függetlenül attól, hogy a Yahoo aldomainje melyik látogatójuk, beleértve a developer.yahoo-ot is. com.

A hamis MSNBC weboldalról betöltött rohadt JavaScript kód kényszeríti a látogató böngészőjét, hogy felhívja a developer.yahoo.com webhelyet egy speciálisan kialakított URL-re, amely kihasználja az XSS-sérülékenységet, és végrehajtja a JavaScript-kódot a developer.yahoo kontextusában. com subdomain.

Ez a kiegészítő JavaScript kód a Yahoo user session cookie-ját olvassa be és feltölti egy támadó által ellenőrzött webhelyre. A cookie-t ezután felhasználja a felhasználó e-mail fiókjának eléréséhez, és elküldi a levélszemét e-mail címét az összes kapcsolatba. Bizonyos értelemben ez egy XSS-alapú, önszaporító e-mail féreg.

A kizsákmányolt XSS-sérülékenység valójában egy SWFUpload nevű WordPress összetevőben található, és javították a WordPress 3.3.2 verziójában, amelyet 2012 áprilisában adtak ki Állítják a Bitdefender kutatói. Az YDN Blog webhely azonban úgy tűnik, hogy a WordPress elavult verzióját használja.

A hibák elkerülése

A szerdai támadások felfedezése után a Bitdefender kutatói megkeresték a vállalat spam adatbázisát, és nagyon hasonló üzeneteket találtak "Mondd el Bogdán Botezatu, a Bitdefender egyik vezető e-fenyegetés-elemzője, csütörtökön e-mailben.

" Nagyon nehéz megbecsülni egy ilyen támadás sikerességét, mert nem látszik az érzékelő hálózatban ". mondott. "Azonban úgy becsüljük, hogy az elmúlt hónapban feldolgozott spam körülbelül egy százalékát okozta ez az eset."

A Bitdefender szerdán jelentette be a sérülékenységet a Yahoo-nak, de csaláskor még mindig hasznosnak bizonyult.. "Néhány tesztszámlánk továbbra is elküldi ezt a fajta levélszemetet."

Egy későbbi, csütörtökön küldött nyilatkozatában a Yahoo azt mondta, hogy javította a sérülékenységet.

"A Yahoo veszi a biztonságot és a felhasználók adatait komolyan ", mondta e-mailben egy Yahoo képviselő. "Nemrégiben megtudtuk, hogy egy külső biztonsági cég sebezhető-e, és megerősítette, hogy megszüntettük a biztonsági rést, és arra ösztönözzük az érintett felhasználókat, hogy jelszavukat egy olyan jelszóra cseréljék, amely betűket, számokat és szimbólumokat kombinál, fiókbeállításait. "

Botezatu azt tanácsolta a felhasználóknak, hogy elkerüljék az e-mailen keresztül érkező linkekre való kattintást, különösen, ha kicsit rövidebbek. Annak megállapítása, hogy egy link rosszindulatú-e a megnyitás előtt, nehéz lehet az ilyen támadásokkal szemben, azt mondta.

Ebben az esetben az üzenetek azoktól az emberektől származnak, akiket a felhasználók tudtak - a feladó a kapcsolattartó listájukban volt -, és a rosszindulatú webhely volt a jól megtervezett, hogy úgy néz ki, mint a tiszteletre méltó MSNBC portál, mondta. "Ez egyfajta támadás, amelyre számítunk, hogy rendkívül sikeresek lehetünk."

Botezatu azt tanácsolta a felhasználóknak, hogy ne keressenek az e-mailben kapott linkekre kattintva, különösen, ha kicsit rövidebbek. Annak megállapítása, hogy egy kapcsolat rosszindulatú-e a megnyitás előtt, nehéz lehet az ilyen támadásokkal szemben, azt mondta.

Ebben az esetben az üzenetek azoktól az emberektől származnak, akiket a felhasználók tudtak - a feladó a kapcsolattartó listájukban volt -, és a rosszindulatú webhely jól működött - Úgy tervezték, hogy úgy néz ki, mint a tiszteletre méltó MSNBC portál, mondta. "Ez egyfajta támadás, amelyről azt várjuk, hogy nagyon sikeres lesz."

Frissítve 2012.01.01-én a Yahoo megjegyzéseivel