Do Yahoo! que permitiu o seqüestro de contas de e-mail

O ataque começa com os usuários recebendo um e-mail de spam com seu nome na linha de assunto e uma mensagem curta "check out this page" seguida de um link bit.ly encurtado. Clicando no link leva os usuários a um site disfarçado como o site de notícias MSNBC que contém um artigo sobre como ganhar dinheiro enquanto trabalhava em casa, os pesquisadores da Bitdefender disseram quarta-feira em um post.

À primeira vista, isso não parece diferente de outros sites fraudulentos de trabalho em casa. No entanto, em segundo plano, um código JavaScript explora uma vulnerabilidade de cross-site scripting (XSS) no site Blog do Yahoo Developer Network (YDN) para roubar o cookie de sessão do Yahoo.

[Leitura adicional: como remova malware do seu PC Windows]

Cookies de sessão porta aberta

Os cookies de sessão são sequências de texto exclusivas armazenadas por sites dentro de navegadores para lembrar usuários conectados até que eles saiam. Os navegadores da Web usam um mecanismo de segurança chamado política de mesma origem para impedir que sites abertos em diferentes guias acessem os recursos uns dos outros, como cookies de sessão. (Consulte também Como se proteger de supercookies. ")

A política de mesma origem geralmente é aplicada por domínio. Por exemplo, google.com não pode acessar os cookies de sessão de yahoo.com, embora o usuário possa estar conectado a ambos sites, ao mesmo tempo, no mesmo navegador.No entanto, dependendo das configurações de cookie, os subdomínios podem acessar os cookies de sessão configurados pelos seus domínios pai.

Este parece ser o caso do Yahoo, onde o usuário permanece logado independentemente do que Subdomínio do Yahoo que visitam, incluindo developer.yahoo.com.

O código JavaScript invasor carregado do falso site MSNBC força o navegador do visitante a chamar o developer.yahoo.com com um URL específico que explora a vulnerabilidade XSS e executa JavaScript adicional código no contexto do subdomínio developer.yahoo.com.

Este código JavaScript adicional lê o cookie de sessão do usuário do Yahoo e o carrega em um site controlado pelos invasores. O cookie é então usado para acessar o uso r conta de e-mail e enviar o e-mail de spam para todos os seus contatos. De certo modo, este é um worm de e-mail auto-propagado e alimentado por XSS.

A vulnerabilidade explorada do XSS está localizada em um componente do WordPress chamado SWFUpload e foi corrigida no WordPress versão 3.3.2 que foi lançada em abril de 2012. Pesquisadores da Bitdefender disseram. No entanto, o site do YDN Blog parece estar usando uma versão desatualizada do WordPress.

Exploit relatado, esmagado

Depois de descobrir o ataque na quarta-feira, os pesquisadores da Bitdefender pesquisaram o banco de dados de spam da empresa e encontraram mensagens muito parecidas mês, disse Bogdan Botezatu, analista sênior de ameaças eletrônicas da Bitdefender, quinta-feira por e-mail.

"É extremamente difícil estimar a taxa de sucesso de tal ataque porque não pode ser visto na rede de sensores", ele disse. "No entanto, estimamos que cerca de 1% do spam que processamos no mês passado é causado por este incidente".

A Bitdefender reportou a vulnerabilidade ao Yahoo na quarta-feira, mas ainda parece ser explorável na quinta-feira, disse Botezatu.. "Algumas das nossas contas de teste ainda estão enviando este tipo específico de spam", disse ele.

Em um comunicado enviado na quinta-feira, o Yahoo afirmou que corrigiu a vulnerabilidade. a sério ", disse um representante do Yahoo por email. "Recentemente, soubemos de uma vulnerabilidade de uma empresa de segurança externa e confirmamos que consertamos a vulnerabilidade. Incentivamos os usuários interessados ​​a alterarem suas senhas para uma senha forte que combina letras, números e símbolos e ativar o segundo desafio de login em suas configurações de conta. "

Botezatu aconselhou os usuários a evitar clicar nos links recebidos via e-mail, especialmente se forem encurtados com bit.ly. Determinar se um link é malicioso antes de abri-lo pode ser difícil com ataques como esses, disse ele.

Nesse caso, as mensagens vieram de pessoas que os usuários conheciam - os remetentes estavam em suas listas de contatos - e o site malicioso estava bem -crafted para olhar como o respeitável portal MSNBC, disse ele. "É um tipo de ataque que esperamos ser altamente bem sucedido".