E-posta saldırısı, Yahoo sitesindeki hesapları saldırıya uğratmak için güvenlik açığı açıkladı

Kısa süre önce tespit edilen bir e-posta saldırısı kampanyasının arkasındaki Hackerlar, Yahoo kullanıcılarının e-posta hesaplarını ele geçirmek için Yahoo web sitesindeki bir güvenlik açığından yararlanıyor. antivirüs satıcısı Bitdefender'ın güvenlik araştırmacılarına göre spam için kullanıyoruz.

Saldırı, konu satırında bir spam e-postası alan kullanıcılarla başlar ve kısa bir "bu sayfayı gözden geçir" mesajının ardından bit.ly kısaltılır. bağlantı. Linke tıklamak, kullanıcıları evden çalışırken para kazanmaya ilişkin bir yazı içeren MSNBC haber sitesi olarak maskelenen bir web sitesine götürüyor. Bitdefender araştırmacıları Çarşamba günkü bir blog yazısında.

İlk bakışta bu hiç de farklı değil. Evden diğer dolandırıcılı sitelerden. Ancak, arka planda, bir JavaScript kodu parçası, ziyaretçinin Yahoo oturumu çerezini çalmak için Yahoo Developer Network (YDN) Blog sitesinde bir siteler arası komut dosyası yazma (XSS) güvenlik açığından yararlanır.

[Ek okuma: Nasıl yapılır? Windows PC'nizden kötü amaçlı yazılımları kaldırın]

Nasıl çalışır

Oturum çerezleri, oturum açmış kullanıcıları çıkış yapana kadar hatırlamak için tarayıcıların içindeki web siteleri tarafından saklanan benzersiz metin dizeleridir. Web tarayıcıları, farklı sekmelerde açılan web sitelerinin, oturum çerezleri gibi birbirlerinin kaynaklarına erişmesini engellemek için aynı menşe ilkesi olarak adlandırılan bir güvenlik mekanizması kullanır.

Aynı menşeli politika genellikle alan adı başına uygulanır. Örneğin, kullanıcı aynı tarayıcıda aynı anda iki web sitesinde de oturum açabilse bile, google.com yahoo.com için oturum çerezlerine erişemez. Bununla birlikte, çerez ayarlarına bağlı olarak, alt alanlar üst etki alanlarına göre ayarlanmış oturum tanımlama bilgilerine erişebilir.

Bu, kullanıcının Yahoo.web tarafından ziyaret edilen Yahoo alt etki alanından bağımsız olarak oturum açtığı Yahoo'da olduğu gibi görünür. com.

Sahte MSNBC web sitesinden yüklenen dolandırıcı JavaScript kodu, ziyaretçinin tarayıcısını developer.yahoo.com'u özel olarak hazırlanmış bir URL ile XSS güvenlik açığından yararlandığını ve developer.yahoo bağlamında ek JavaScript kodu çalıştırdığını bildirmesi için zorlar. com subdomain.

Bu ek JavaScript kodu, Yahoo kullanıcısının oturum çerezini okur ve saldırganların kontrol ettiği bir web sitesine yükler. Çerez daha sonra kullanıcının e-posta hesabına erişmek ve spam e-postasını tüm kişilerinize göndermek için kullanılır. Bir anlamda, bu XSS tarafından desteklenen, kendi kendine yayılan bir e-posta solucanıdır.

Kötüye kullanılan XSS açığı, SWFUpload adlı bir WordPress bileşeninde bulunur ve Nisan 2012'de yayımlanan WordPress sürüm 3.3.2'de yamanmıştır. Bitdefender araştırmacıları söyledi. Ancak, YDN Blog sitesi, WordPress'in eski bir sürümünü kullanıyor görünmektedir.

Sorun nasıl önlenir

Çarşamba günü saldırıyı keşfettikten sonra, Bitdefender araştırmacıları şirketin spam veritabanını araştırdı ve hemen hemen aynı geçmişe sahip çok benzer mesajlar buldu Ay, Perde'de Bitdefender'da e-tehdit uzmanı kıdemli e-tehdit analisti Bogdan Botezatu 'nun e-posta yoluyla olduğunu belirtti.

"Böyle bir saldırının başarı oranını tahmin etmek çok zor çünkü sensör ağında görülemiyor" dedim. "Ancak, geçen ay içinde işlediğimiz spamların yaklaşık yüzde birinin bu olaydan kaynaklandığını tahmin ediyoruz."

Bitdefender Çarşamba günü Yahoo'ya olan güvenlik açığını açıkladı, ancak Perşembe günü hala kullanılabilir olduğu ortaya çıktı.. "Bazı test hesaplarımız hala bu tür spam türlerini gönderiyor" dedi.

Perşembe günü daha sonra gönderilen bir açıklamada, Yahoo güvenlik açığını kapattığını söyledi.

"Yahoo güvenlik ve kullanıcılarımızın verilerini alıyor Cidden, "bir Yahoo temsilcisi e-posta yoluyla söyledi. "Son zamanlarda bir dış güvenlik firmasından gelen bir güvenlik açığını öğrendik ve bu güvenlik açığını düzelttiğimizi doğruladık. Kullanıcıları parolalarını harfleri, sayıları ve sembolleri birleştiren güçlü bir parola değiştirmeye ve ikinci giriş sorgusunu etkinleştirmeye teşvik ediyoruz. hesap ayarları. "

Botezatu, e-posta yoluyla alınan bağlantılara tıklamaktan özellikle de, özellikle bit.ly ile kısaltıldıkları için kullanıcılara tavsiyede bulunmuştur. Bir bağlantının açılmadan önce kötü amaçlı olup olmadığının belirlenmesi, bu tür saldırılarla zor olabilir, dedi.

Bu durumda, mesajlar kullanıcıların tanıdığı kişilerden geldi - gönderenler kendi iletişim listelerinde bulundular - ve kötü amaçlı site Saygın MSNBC portalı gibi görünmek için iyi hazırlanmıştı, dedi. "Son derece başarılı olmasını beklediğimiz bir saldırı türüdür."

Botezatu, kullanıcıları özellikle de bit.ly ile kısaltıldıklarında e-posta yoluyla alınan bağlantılara tıklamaktan kaçınmaları konusunda tavsiyelerde bulundu. Bir bağlantının açılmadan önce kötü amaçlı olup olmadığının belirlenmesi, bu gibi saldırılar ile zor olabilir, dedi.

Bu durumda, mesajlar, kullanıcıların gönderenlerin iletişim listelerinde yer aldığı kişilerden geldi ve kötü niyetli site saygın MSNBC portalı gibi görünmek için hazırlanmış, dedi. "Son derece başarılı olmasını beklediğimiz bir saldırı türüdür."

Yahoo Comments ile birlikte 1/31/2013