יאהו תקעים חור שאיפשר חטיפת חשבונות דוא"ל

האקרים שמאחורי קמפיין התקפות דוא"ל שהתגלו לאחרונה מנצלים פגיעות באתר Yahoo כדי לחטוף את חשבונות הדוא"ל של משתמשי יאהו ולהשתמש בהם עבור דואר זבל, על פי חוקרי אבטחה של ספק האנטי-וירוס Bitdefender

ההתקפה מתחילה עם משתמשים שמקבלים הודעת דואר זבל עם השם שלהם בשורת הנושא וכן הודעה קצרה של "בדוק דף זה" ואחריו קישור מקוצר. לחיצה על הקישור לוקחת את המשתמשים לאתר אינטרנט שמתחפש לאתר החדשות של MSNBC, המכיל מאמר על איך להרוויח כסף בזמן עבודה מהבית, כך אמרו אתמול (יום ב ') חוקרים מבית Bitdefender בפוסט בבלוג. מאתרי עבודה אחרים מהבית. עם זאת, ברקע, קטע קוד JavaScript מנצל פגיעות של Scripting בין אתרים (XSS) באתר האינטרנט של Yahoo Developer Network (YDN) כדי לגנוב את קובץ ה- cookie של יאהו. להסיר תוכנות זדוניות מהמחשב Windows שלך]

עוגיות מושב הדלת הפתוחה

Cookies Cookies הם מחרוזות ייחודיות של טקסט המאוחסן על ידי אתרי אינטרנט בתוך דפדפנים כדי לזכור משתמשים מחוברים עד שהם יציאה. דפדפני אינטרנט משתמשים במנגנון אבטחה שנקרא מדיניות מקור זהה כדי למנוע מאתרים שנפתחו בכרטיסיות שונות לגשת למשאבים של אחרים, כגון קובצי Cookie של הפעלה. (ראה גם כיצד להגן על עצמך מפני Supercookies.))

מדיניות אותו מקור נאכפת בדרך כלל לכל תחום.לדוגמה, google.com לא יכול לגשת לקובצי ה- cookie של ההפעלה עבור yahoo.com למרות שהמשתמש עשוי להיכנס לשניהם עם זאת, בהתאם להגדרות של קובצי cookie, תת-דומיינים יכולים לגשת לקובצי cookie של הפעלה שהוגדרו על-ידי דומיינים של ההורה שלהם.

נראה שזה המקרה עם Yahoo, שבו המשתמש נשאר מחובר ללא קשר למה יאהו המשנה הם מבקרים, כולל developer.yahoo.com.

קוד JavaScript נוכלים טעון מאתר האינטרנט מזויף MSNBC כוחות הדפדפן של המבקר להתקשר developer.yahoo.com עם כתובת אתר בעל מבנה מיוחד המנצלת את הפגיעות XSS ומבצע JavaScript נוספים קוד בהקשר של תת-המערכת developer.yahoo.com.

קוד JavaScript נוסף זה קורא את קובץ ה- cookie של המשתמש של יאהו ומעלה אותו לאתר הנשלט על-ידי התוקפים.קוקי משמש לאחר מכן כדי לגשת לשימוש r של חשבון הדוא"ל ולשלוח את דואר הזבל לכל אנשי הקשר שלהם. במובן מסוים, זוהי תולעת דואר אלקטרוני המופעלת באמצעות XSS ומופצת באופן עצמאי.

הפגיעות המנוצלת של XSS נמצאת למעשה במרכיב WordPress הנקרא SWFUpload ו תוקנה בגרסת וורדפרס 3.3.2 שפורסמה באפריל 2012, חוקרי Bitdefender. עם זאת, נראה כי אתר הבלוג של YDN משתמש בגירסה מיושנת של וורדפרס.

דווח על דיווח, מעוך

לאחר שגילה את הפיגוע ביום רביעי, חוקרי Bitdefender חיפשו במסד הנתונים של הספאם של החברה ומצאו מסרים דומים מאוד שראשיתם כמעט, אמר בוגדאן בוטאטו, בוגדן בוטזאטו, מבכירי איום אלקטרוני בביטדפנדר, ביום חמישי שעבר בדואר אלקטרוני. "קשה מאוד להעריך את שיעור ההצלחה של התקפה כזו, משום שאי אפשר לראות אותה ברשת החיישנים". אמר. "עם זאת, אנו מעריכים כי בערך אחוז אחד מהספאם שעבדנו בחודש האחרון נגרם כתוצאה מהאירוע הזה".

Bitdefender דיווח על הפגיעות ליאהו ביום רביעי, אך עדיין נראה כי ניתן לנצל אותה ביום חמישי, אמר בוטזטו. "חלק מחשבונות הבדיקה שלנו עדיין שולחים את הספאם הספציפי הזה", הוא אמר. בהצהרה שנשלחה מאוחר יותר ביום חמישי, יאהו אמרה כי היא תיקנה את הפגיעות.

"Yahoo לוקחת את האבטחה ואת נתוני המשתמשים שלנו ברצינות ", אמר נציג יאהו בדוא"ל. "למדנו לאחרונה על פגיעות מחברת אבטחה חיצונית וידוא שתיקנו את הפגיעות, ואנו מעודדים משתמשים מודאגים לשנות את הסיסמאות שלהם לסיסמה חזקה המשלבת אותיות, מספרים וסמלים, וכדי לאפשר את אתגר הכניסה השני ב הגדרות החשבון שלהם. "

Botezatu מומלץ למשתמשים להימנע מלחיצה על קישורים שהתקבלו בדוא"ל, במיוחד אם הם מקוצרים עם bit.ly. הוא קבע שאם הקישור הוא זדוני לפני שהוא פותח את זה יכול להיות קשה עם התקפות כאלה, הוא אמר. "במקרה זה, ההודעות הגיעו מאנשים שהמשתמשים ידעו - השולחים היו ברשימות אנשי הקשר שלהם - והאתר הזדוני היה טוב, שייראה כמו הפורטל המכובד של MSNBC, אמר. "זה סוג של התקפה שאנחנו מצפים להיות מאוד מוצלח."