E-mailový útok zneužívá zranitelnost na webu Yahoo k únosu účtů

Hackeři za nedávno zjištěnou kampaň útoku e-mailů zneužívají chybu zabezpečení na webových stránkách Yahoo, aby zneužily e-mailové účty uživatelů Yahoo a že útoky začínají tím, že uživatelé dostávají nevyžádanou poštu s jejich jménem v řádku předmětu a krátkou zprávu "podívejte se na tuto stránku", po níž se bit.ly zkrátí odkaz. Kliknutím na odkaz se uživatelé na webovou stránku maskovaně vyskytují jako zpravodajský server MSNBC, který obsahuje článek o tom, jak vydělat peníze při práci z domova, uvedli výzkumníci společnosti Bitdefender ve středu na blogu.

Na první pohled to vypadá jinak z jiných podvodných pracovních míst. V pozadí však část kódu JavaScript využívá zranitelnost skriptování mezi webovými stránkami (XSS) na webu blogu Yahoo Developer Network (YDN) s cílem ukrást cookie návštěvy Yahoo návštěvníka.

[Další informace odstranění malwaru z počítače se systémem Windows]

Jak to funguje

Session cookies jsou jedinečné řetězce textu uložené na webových stránkách uvnitř prohlížečů, aby si pamatovali přihlášené uživatele, dokud se odhlásí. Webové prohlížeče používají bezpečnostní mechanismus, který se nazývá zásada stejného původu, aby se zabránilo tomu, že webové stránky otevřené na různých kartách budou mít přístup ke zdrojům navzájem, jako jsou soubory cookie relace.

Pravidla pro stejný původ jsou obvykle vynucena pro každou doménu. Například google.com nemůže mít přístup k cookies relace pro yahoo.com, přestože uživatel může být současně přihlášen do obou webových stránek ve stejném prohlížeči. V závislosti na nastavení souborů cookie však mohou subdomény získat přístup k souborům cookie relací nastaveným jejich nadřazenými doménami.

Zdá se, že se jedná o případ Yahoo s tím, že uživatel zůstává přihlášen bez ohledu na subdoménu Yahoo, kterou navštíví, včetně developer.yahoo. com.

Nekonečný kód JavaScript, který je načten z falešného webu MSNBC, nutí prohlížečový prohlížeč vyvolat vývojáře.yahoo.com s konkrétně vytvořenou adresou URL, která využívá zranitelnost XSS a spustí další kód JavaScript v kontextu vývojáře.yahoo. com subdoména.

Tento další kód JavaScript čte cookie relace uživatele Yahoo a nahraje jej na webovou stránku, kterou kontrolují útočníci. Soubor cookie se pak používá k přístupu k e-mailovému účtu uživatele a odesílání nevyžádané pošty všem jeho kontaktům. V jistém smyslu se jedná o šumitelný e-mailový červ s podporou XSS.

Využívaná chyba zabezpečení XSS se skutečně nachází ve složce WordPress s názvem SWFUpload a byla opravena v aplikaci WordPress verze 3.3.2, která byla vydána v dubnu 2012. Výzkumníci společnosti Bitdefender uvedli. Zdá se však, že stránka YDN Blogu používá starou verzi aplikace WordPress

Jak se vyhnout problémům

Po objevení útoku ve středu výzkumníci společnosti Bitdefender prohledali databázi spam společnosti a našli velmi podobné zprávy, "Je extrémně obtížné odhadnout úspěšnost takového útoku, protože to není možné vidět v síti senzorů," uvedl Bogdan Botezatu, senior analytik e-hrozby v Bitdefenderu. řekl. "Přesto odhadujeme, že přibližně jeden procent spamu, který jsme zpracovali v minulém měsíci, je způsoben tímto incidentem."

Bitdefender oznámil zranitelnost společnosti Yahoo ve středu, ale zdá se, že je ve čtvrtek využitelná, řekl Botezatu. "Některé z našich testovacích účtů stále odesílají tento konkrétní typ spamu," uvedl.

Yahoo oznámil, že bezpečnostní chybu a údaje našich uživatelů vážně ", řekl zástupce Yahoo e-mailem. "Nedávno jsme se dozvěděli o chybě zabezpečení ze strany externí bezpečnostní firmy a potvrzujeme, že jsme tuto chybu opravili. Dotýkáme se dotčených uživatelů, aby změnili hesla na silné heslo, které kombinuje písmena, čísla a symboly, a umožnit druhou výzvu k přihlášení jejich nastavení účtu. "

Botezatu doporučil uživatelům, aby se vyhnuli kliknutí na odkazy přijaté e-mailem, zejména pokud jsou zkráceny bit.ly. Zjištění, zda je odkaz před útokem škodlivý, může být při takových útokech těžké, uvedl.

V tomto případě zprávy pocházely od lidí, které uživatelé věděli - odesílatelé byli ve svých kontaktech - a škodlivé stránky byl vytvořen tak, aby vypadal jako úctyhodný portál MSNBC, řekl. "Je to typ útoku, který očekáváme, že bude velmi úspěšný."

Botezatu doporučil uživatelům, aby se vyhnuli kliknutí na odkazy přijaté e-mailem, zejména pokud jsou zkráceny bit.ly. Zjištění, zda je spojení před útokem škodlivé, může být při takových útokech těžké, uvedl.

V tomto případě zprávy pocházely od lidí, které uživatelé věděli - odesílatelé byli ve svých seznamech kontaktů - a škodlivá stránka byla dobře - vypadal jako slušný portál MSNBC, řekl. "Je to typ útoku, který očekáváme, že bude velmi úspěšný."

Aktualizováno 31.3.2013 s komentáři Yahoo