Yahoo plugs hole na pinapayagan ang pag-hijack ng mga email account

Mga Hacker sa likod ng isang kamakailan nakita kampanya sa pag-atake ng email ay exploiting isang kahinaan sa isang Yahoo website upang i-hijack ang mga email account ng mga gumagamit ng Yahoo at gamitin ang mga ito para sa spam, ayon sa mga mananaliksik ng seguridad mula sa antivirus vendor Bitdefender.

Ang atake ay nagsisimula sa mga gumagamit na tumatanggap ng isang spam email na may kanilang pangalan sa linya ng paksa at isang maikling "tingnan ang pahinang ito" na mensahe na sinusundan ng isang bit.ly pinaikling link. Ang pag-click sa link ay tumatagal ng mga gumagamit sa isang website na nagpapakilala bilang MSNBC news site na naglalaman ng isang artikulo tungkol sa kung paano gumawa ng pera habang nagtatrabaho mula sa bahay, sinabi ng mga mananaliksik na Bitdefender Miyerkules sa isang post ng blog.

Sa unang sulyap, tila walang ibang mula sa iba pang mga work-from-home scam site. Gayunpaman, sa background, ang isang piraso ng JavaScript code ay nagsasamantala ng isang cross-site scripting (XSS) na kahinaan sa Yahoo Developer Network (YDN) Blog site upang makawin ang Yahoo session cookie ng bisita.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC.

Session cookies open door

Session cookies ay natatanging mga string ng teksto na nakaimbak ng mga website sa loob ng mga browser upang matandaan ang mga naka-log in na mga gumagamit hanggang mag-sign out sila. Ginagamit ng mga browser ng web ang isang mekanismo ng seguridad na tinatawag na patakaran ng parehong pinagmulan upang maiwasan ang mga website na binuksan sa iba't ibang mga tab mula sa pag-access sa mga mapagkukunan ng bawat isa, tulad ng mga cookies ng session. (Tingnan din kung Paano Upang Protektahan ang Iyong Sarili Mula sa Supercookies. ")

Ang patakaran na parehong pinanggalingan ay karaniwang ipinapatupad sa bawat domain. Halimbawa, ang google.com ay hindi maaaring ma-access ang cookies ng session para sa yahoo.com kahit na ang user ay maaaring naka-log sa parehong ang mga website sa parehong oras sa parehong browser Gayunpaman, depende sa mga setting ng cookie, ang mga subdomain ay maaaring ma-access ang mga cookies ng session na itinakda ng kanilang mga domain ng magulang.

Mukhang ito ang kaso sa Yahoo, kung saan ang user ay nananatiling naka-log in hindi alintana kung ano Ang subdomain ng Yahoo na kanilang binibisita, kabilang ang developer.yahoo.com.

Ang pusong JavaScript na naka-load mula sa pekeng MSNBC website ay nagpapalakas sa browser ng bisita na tumawag sa developer.yahoo.com gamit ang isang partikular na ginawa na URL na nagsasamantala sa kahinaan ng XSS at nag-execute ng karagdagang JavaScript code sa konteksto ng developer.yahoo.com subdomain.

Ang karagdagang code ng JavaScript na ito ay bumabasa ng session cookie ng user ng Yahoo at ini-upload ito sa isang website na kinokontrol ng mga attackers. Pagkatapos ay ginagamit ang cookie upang ma-access ang paggamit email account ng r at ipadala ang spam email sa lahat ng kanilang mga contact. Sa isang katuturan, ito ay isang worm na email na pinapatakbo ng XSS.

Ang pinagsamantalang XSS na kahinaan ay talagang matatagpuan sa isang bahagi ng WordPress na tinatawag na SWFUpload at na-patched sa WordPress na bersyon 3.3.2 na inilabas noong Abril 2012, ang Sinabi ng mga mananaliksik na Bitdefender. Ngunit, ang site ng YDN Blog ay lumilitaw na gumagamit ng isang lumang bersyon ng WordPress.

Nag-ulat ng Exploit, squashed

Matapos matuklasan ang pag-atake sa Miyerkules, hinanap ng mga mananaliksik ng Bitdefender ang spam database ng kumpanya at nakita ang mga katulad na mensahe na dating halos isang "sinabi ni Bogdan Botezatu, isang senior e-threat analyst sa Bitdefender, Huwebes sa pamamagitan ng email.

" Ito ay lubos na mahirap upang tantiyahin ang tagumpay rate ng tulad ng isang atake dahil hindi ito makikita sa sensor network, "siya sinabi. "Gayunpaman, itinataya namin na halos isang porsiyento ng spam na naiproseso namin sa nakalipas na buwan ay sanhi ng insidente na ito."

Bitdefender ay iniulat ang kahinaan sa Yahoo noong Miyerkules, ngunit pa rin ito ay nagpakita na magagamit sa Huwebes, sinabi ni Botezatu. "Ang ilan sa aming mga test account ay nagpapadala pa rin ng partikular na uri ng spam," sinabi niya.

Sa isang pahayag na ipinadala sa ibang pagkakataon noong Huwebes, sinabi ng Yahoo na ito ay may patched na kahinaan.

"Ang Yahoo ay tumatagal ng seguridad at data ng aming mga gumagamit sineseryoso, "sinabi ng isang kinatawan ng Yahoo sa pamamagitan ng email. "Namin kamakailan lamang na natutunan ang isang kahinaan mula sa isang panlabas na seguridad firm at kumpirmahin na naayos na namin ang kahinaan. Hinihikayat namin ang mga nag-aalala na gumagamit upang baguhin ang kanilang mga password sa isang malakas na password na pinagsasama ang mga titik, numero, at mga simbolo; ang mga setting ng kanilang account. "

Pinapayuhan ni Botezatu ang mga gumagamit na iwasan ang pag-click sa mga link na natanggap sa pamamagitan ng email, lalo na kung pinaikli sila ng bit.ly. Ang pagpapasiya kung ang isang link ay malisyoso bago ang pagbubukas nito ay maaaring maging mahirap sa mga pag-atake tulad ng mga ito, sinabi niya.

Sa kasong ito, ang mga mensahe ay nagmula sa mga taong alam ng mga gumagamit-ang mga nagpapadala ay nasa kanilang mga listahan ng contact-at ang nakakahamak na site ay mabuti -mag-alis ng hitsura ng kagalang-galang na portal ng MSNBC, sinabi niya. "Ito ay isang uri ng pag-atake na inaasahan naming maging lubhang matagumpay."