Отверстие для подключения к интернету Yahoo, позволяющее захватить учетные записи электронной почты

Хакеры за недавно обнаруженной атакой по электронной почте используют уязвимость на веб-сайте Yahoo, чтобы захватить учетные записи электронной почты пользователей Yahoo и использовать их для спама, согласно исследователям безопасности от поставщика антивирусных программ Bitdefender.

Атака начинается с того, что пользователи получают спам-адрес электронной почты с их именем в строке темы и короткое сообщение «проверить эту страницу», за которым следует сокращенная ссылка bit.ly. Нажав на ссылку, вы попадаете на сайт, на который ссылается новостной сайт MSNBC, в котором содержится статья о том, как зарабатывать деньги, работая дома, исследователи Bitdefender заявили в среду в сообщении в блоге.

На первый взгляд это ничем не отличается от других сайтов мошенничества на дому. Однако в фоновом режиме часть кода JavaScript использует уязвимость межсайтового скриптинга (XSS) на сайте блога Yahoo Developer Network (YDN), чтобы украсть файл cookie Yahoo для посетителей.

[Дополнительная информация: Как удалите вредоносное ПО с вашего ПК с Windows]

Открытые файлы cookie сеанса

Файлы cookie сеанса - это уникальные строки текста, хранящиеся на веб-сайтах внутри браузеров, чтобы запомнить зарегистрированных пользователей до их выхода. В веб-браузерах используется механизм безопасности, называемый политикой одного и того же происхождения, чтобы запретить открытые на разных вкладках веб-сайты доступа к ресурсам друг друга, например, cookie сеанса. (См. Также «Как защитить себя от суперкубок».)

Политика одного и того же происхождения обычно применяется для каждого домена. Например, google.com не может получить доступ к файлам cookie сеанса для yahoo.com, даже если пользователь может войти в оба сайты в то же время в одном браузере.Однако, в зависимости от настроек cookie, субдомены могут получить доступ к куки-сайтам сеансов, установленным их родительскими доменами.

Это похоже на Yahoo, где пользователь остается включенным независимо от того, что Yahoo поддомен, который они посещают, в том числе developer.yahoo.com.

Кодирующий код JavaScript, загруженный с поддельного веб-сайта MSNBC, заставляет браузер посетителя ссылаться на developer.yahoo.com с специально созданным URL-адресом, который использует уязвимость XSS и выполняет дополнительный JavaScript кода в контексте субдомена developer.yahoo.com.

Этот дополнительный код JavaScript считывает cookie пользователя Yahoo и загружает его на веб-сайт, контролируемый злоумышленниками. Затем файл cookie используется для доступа к использованию и отправьте спам-письмо всем своим контактам. В некотором смысле, это червь, распространяющийся по электронной почте с использованием XSS.

Уязвимость уязвимости XSS на самом деле находится в компоненте WordPress под названием SWFUpload и была исправлена ​​в версии 3.3.2 WordPress, выпущенной в апреле 2012 года. Исследователи Bitdefender сказали. Тем не менее, сайт сайта YDN, похоже, использует устаревшую версию WordPress.

Exploit сообщил, раздавлен

После обнаружения атаки в среду исследователи Bitdefender исследовали базу данных спама компании и обнаружили очень похожие сообщения, месяц, сказал Богдан Ботезату, старший аналитик по электронной угрозе в Битденфенде, в четверг по электронной почте.

«Очень сложно оценить вероятность успеха такой атаки, потому что она не может быть замечена в сенсорной сети», - сказал он сказал. «Однако мы оцениваем, что примерно один процент спама, который мы обработали в прошлом месяце, вызван этим инцидентом».

Bitdefender сообщил об уязвимости Yahoo в среду, но, по-видимому, он использовался в четверг, сказал Ботезату, «Некоторые из наших тестовых учетных записей по-прежнему отправляют этот особый тип спама», - сказал он.

В заявлении, отправленном позже в четверг, Yahoo заявила, что исправила эту уязвимость.

«Yahoo берет на себя безопасность и данные наших пользователей серьезно », - сказал представитель Yahoo по электронной почте. «Мы недавно узнали об уязвимости внешней охранной фирмы и подтвердили, что мы исправили эту уязвимость. Мы рекомендуем заинтересованным пользователям менять свои пароли на сильный пароль, который объединяет буквы, цифры и символы, а также для включения второй процедуры входа в систему их настройки учетной записи. "

Botezatu рекомендовал пользователям избегать нажатия на ссылки, полученные по электронной почте, особенно если они сокращены с помощью bit.ly. Определить, является ли ссылка злонамеренной до ее открытия, может быть сложно с такими атаками, сказал он.

В этом случае сообщения поступали от людей, которых знали пользователи - отправители были в своих списках контактов, - и злонамеренный сайт был хорошо - сказал он, - чтобы выглядеть как респектабельный портал MSNBC. «Это тип атаки, который, как мы ожидаем, будет очень успешным».