Yahoo, e-posta hesaplarının ele geçirilmesine izin veren delikleri tıkıyor

Yakın zamanda tespit edilen bir e-posta saldırısı kampanyasının arkasındaki bilgisayar korsanları, bir Yahoo web sitesindeki bir güvenlik açığından Yahoo kullanıcılarına ait e-posta hesaplarını ele geçirme ve bunları spam için kullanma, anti virüs üreticilerinden gelen güvenlik araştırmacılarına göre kullanıyor. Bitdefender.

Saldırı, konu satırında isimleriyle birlikte bir spam e-postası alan kullanıcılarla ve kısa bir "bu sayfayı gözden geçir" mesajıyla ve bit.ly kısaltılmış bir bağlantıyla başlar. Linke tıklamak, kullanıcıları evden çalışırken para kazanmaya ilişkin bir yazı içeren MSNBC haber sitesi olarak maskelenen bir web sitesine götürüyor. Bitdefender araştırmacıları Çarşamba günkü bir blog yazısında.

İlk bakışta bu hiç de farklı değil. Evden diğer dolandırıcılı sitelerden. Ancak, arka planda, bir JavaScript kodu parçası, ziyaretçinin Yahoo oturumu çerezini çalmak için Yahoo Developer Network (YDN) Blog sitesinde bir siteler arası komut dosyası yazma (XSS) güvenlik açığından yararlanır.

[Ek okuma: Nasıl yapılır? Windows PC'nizden kötü amaçlı yazılımları kaldırın]

Oturum çerezleri açık kapı

Oturum çerezleri, oturum açmış kullanıcıları çıkış yapana kadar hatırlamak için tarayıcı içindeki web siteleri tarafından saklanan benzersiz metin dizeleridir. Web tarayıcıları, farklı sekmelerde açılan web sitelerinin oturum çerezleri gibi birbirlerinin kaynaklarına erişmesini önlemek için aynı menşe politika denilen bir güvenlik mekanizması kullanır. (Ayrıca bkz. Supercookies'dan Kendinizi Nasıl Koruyunuz. ")

Aynı menşeli politika genellikle alan başına zorunludur.Örneğin, her ikisi de giriş yapmış olsa bile google.com yahoo.com için oturum çerezlerine erişemez. Aynı tarayıcıda aynı anda web siteleri.Ancak, çerez ayarlarına bağlı olarak, alt alan adları, ana etki alanlarına göre ayarlanmış oturum çerezlerine erişebilir.

Bu, Yahoo'da olduğu gibi görünür. Developer.yahoo.com dahil olmak üzere ziyaret ettikleri Yahoo alt alanı.

Sahte MSNBC web sitesinden yüklenen sahte JavaScript kodu, ziyaretçinin tarayıcısını developer.yahoo.com'u özel olarak hazırlanmış bir URL ile XSS güvenlik açığından yararlandırarak ek JavaScript'i çalıştırmaya zorlamaya zorlar. developer.yahoo.com alt etki alanı bağlamında kod.

Bu ek JavaScript kodu, Yahoo kullanıcısının oturum çerezini okur ve saldırganların kontrol ettiği bir web sitesine yükler. r e-posta hesabı ve spam e-postalarını tüm kişilerinize gönder. Bir anlamda, bu XSS tarafından desteklenen, kendi kendine yayılan bir e-posta solucanıdır.

Kötüye kullanılan XSS açığı, SWFUpload adlı bir WordPress bileşeninde bulunur ve Nisan 2012'de yayımlanan WordPress sürüm 3.3.2'de yamanmıştır. Bitdefender araştırmacıları söyledi. Ancak, YDN Blog sitesi, WordPress'in eski bir sürümünü kullanıyor görünmektedir.

Exploit bildirildi,

ezildi> Çarşamba günü saldırıyı keşfettikten sonra, Bitdefender araştırmacıları şirketin spam veritabanını aradı ve hemen hemen aynı geçmişe sahip çok benzer mesajlar buldu Ay, Perde'de Bitdefender'da e-tehdit uzmanı kıdemli e-tehdit analisti Bogdan Botezatu 'nun e-posta yoluyla olduğunu belirtti.

"Böyle bir saldırının başarı oranını tahmin etmek çok zor çünkü sensör ağında görülemiyor" dedim. "Ancak, geçen ay içinde işlediğimiz spamların yaklaşık yüzde birinin bu olaydan kaynaklandığını tahmin ediyoruz."

Bitdefender Çarşamba günü Yahoo'ya olan güvenlik açığını açıkladı, ancak Perşembe günü hala kullanılabilir olduğu ortaya çıktı.. "Bazı test hesaplarımız hala bu tür spam türlerini gönderiyor" dedi.

Perşembe günü daha sonra gönderilen bir açıklamada, Yahoo güvenlik açığını kapattığını söyledi.

"Yahoo güvenlik ve kullanıcılarımızın verilerini alıyor Cidden, "bir Yahoo temsilcisi e-posta yoluyla söyledi. "Son zamanlarda bir dış güvenlik firmasından gelen bir güvenlik açığını öğrendik ve bu güvenlik açığını düzelttiğimizi doğruladık. Kullanıcıları parolalarını harfleri, sayıları ve sembolleri birleştiren güçlü bir parola değiştirmeye ve ikinci giriş sorgusunu etkinleştirmeye teşvik ediyoruz. hesap ayarları. "

Botezatu, e-posta yoluyla alınan bağlantılara tıklamaktan özellikle de, özellikle bit.ly ile kısaltıldıkları için kullanıcılara tavsiyede bulunmuştur. Bir bağlantının açılmadan önce kötü amaçlı olup olmadığının belirlenmesi, bu gibi saldırılar ile zor olabilir, dedi.

Bu durumda, mesajlar, kullanıcıların gönderenlerin iletişim listelerinde yer aldığı kişilerden geldi ve kötü niyetli site saygın MSNBC portalı gibi görünmek için hazırlanmış, dedi. "Son derece başarılı olmasını beklediğimiz bir saldırı türüdür."