E-Mail-Angriff nutzt Sicherheitslücke in Yahoo-Website, um Konten zu hijacken

Hacker hinter einer kürzlich entdeckten E-Mail-Angriffskampagne nutzen eine Sicherheitslücke auf einer Yahoo-Website, um die E-Mail-Konten von Yahoo-Nutzern zu entführen "

Der Angriff beginnt damit, dass Benutzer eine Spam-E-Mail mit ihrem Namen in der Betreffzeile erhalten und eine kurze" Check out this page "-Nachricht gefolgt von einer etwas gekürzten Nachricht erhalten Verknüpfung. Wenn man auf den Link klickt, gelangen die Nutzer zu einer Website, die sich als MSNBC-Nachrichtenseite mit einem Artikel über Geldverdienen während der Arbeit von zu Hause aus präsentiert, sagten die Bitdefender-Forscher am Mittwoch in einem Blogbeitrag.

Auf den ersten Blick scheint das nicht anders zu sein von anderen Work-from-Home-Betrügereien. Im Hintergrund nutzt ein Stück JavaScript-Code jedoch eine Cross-Site-Scripting-Lücke (XSS) auf der Yahoo Developer Network (YDN) -Blog-Site, um den Yahoo-Sitzungscookie des Besuchers zu stehlen.

[Weitere Informationen: Wie? entfernen Sie Malware von Ihrem Windows PC]

So funktioniert's

Session-Cookies sind eindeutige Textfolgen, die von Websites in Browsern gespeichert werden, um sich an eingeloggte Benutzer zu erinnern, bis sie sich abmelden. Webbrowser verwenden einen Sicherheitsmechanismus, der als Richtlinie für denselben Ursprung bezeichnet wird, um zu verhindern, dass in verschiedenen Registerkarten geöffnete Websites auf andere Ressourcen wie Sitzungscookies zugreifen.

Die Richtlinie für denselben Ursprung wird normalerweise pro Domäne erzwungen. Google.com kann beispielsweise nicht auf die Sitzungscookies für yahoo.com zugreifen, obwohl der Benutzer möglicherweise gleichzeitig im selben Browser bei beiden Websites angemeldet ist. Abhängig von den Cookie-Einstellungen können Sub-Domains jedoch auf Session-Cookies zugreifen, die von ihren übergeordneten Domains festgelegt werden.

Dies scheint bei Yahoo der Fall zu sein, wo der Benutzer angemeldet bleibt, unabhängig davon, welche Yahoo-Subdomain er besucht, einschließlich developer.yahoo. com.

Der gefälschte JavaScript-Code, der von der gefälschten MSNBC-Website geladen wurde, zwingt den Browser des Besuchers, developer.yahoo.com mit einer speziell gestalteten URL aufzurufen, die die XSS-Schwachstelle ausnutzt und zusätzlichen JavaScript-Code im Kontext von developer.yahoo ausführt. com subdomain.

Dieser zusätzliche JavaScript-Code liest das Session-Cookie des Yahoo-Benutzers und lädt es auf eine von den Angreifern kontrollierte Website hoch. Der Cookie wird dann verwendet, um auf das E-Mail-Konto des Benutzers zuzugreifen und die Spam-E-Mail an alle seine Kontakte zu senden. In gewissem Sinne ist dies ein XSS-gestützter, sich selbst ausbreitender E-Mail-Wurm.

Die ausgenutzte XSS-Schwachstelle befindet sich tatsächlich in einer WordPress-Komponente namens SWFUpload und wurde in WordPress Version 3.3.2 gepatcht, die im April 2012 veröffentlicht wurde Bitdefender-Forscher sagten. Die Website des YDN-Blogs scheint jedoch eine veraltete Version von WordPress zu verwenden.

So vermeiden Sie Probleme

Nachdem die Bitdefender-Forscher den Angriff am Mittwoch entdeckt hatten, durchsuchten sie die Spam-Datenbank des Unternehmens und fanden sehr ähnliche Nachrichten Monat, sagte Bogdan Botezatu, Senior E-Threat Analyst bei Bitdefender, Donnerstag per E-Mail.

"Es ist extrem schwierig, die Erfolgsrate eines solchen Angriffs abzuschätzen, weil er im Sensornetzwerk nicht zu sehen ist", sagte er sagte. "Wir schätzen jedoch, dass rund ein Prozent der Spam-Mails, die wir im vergangenen Monat verarbeitet haben, auf diesen Vorfall zurückzuführen sind."

Bitdefender berichtete am Mittwoch von der Sicherheitslücke bei Yahoo, die jedoch am Donnerstag noch ausnutzbar schien, sagte Botezatu. "Einige unserer Test-Accounts senden immer noch diese spezielle Art von Spam", sagte er.

In einer Stellungnahme, die später am Donnerstag gesendet wurde, sagte Yahoo, dass die Sicherheitslücke gepatched wurde.

"Yahoo braucht Sicherheit und die Daten unserer Nutzer ernsthaft ", sagte ein Yahoo-Vertreter per E-Mail. "Wir haben kürzlich von einer Sicherheitslücke in einem externen Sicherheitsunternehmen erfahren und bestätigt, dass wir die Schwachstelle behoben haben. Wir ermutigen betroffene Benutzer, ihre Passwörter zu einem starken Passwort zu ändern, das Buchstaben, Zahlen und Symbole kombiniert ihre Kontoeinstellungen. "

Botezatu rät Nutzern, auf Links zu klicken, die per E-Mail empfangen werden, insbesondere wenn sie mit bit.ly gekürzt werden. Es sei schwierig, mit solchen Angriffen festzustellen, ob eine Verbindung bösartig ist, bevor er sie öffnet.

In diesem Fall kamen die Nachrichten von Leuten, die die Benutzer kannten - die Absender waren in ihren Kontaktlisten - und der bösartigen Website war gut gemacht, um wie das respektable MSNBC Portal auszusehen, sagte er. "Es ist eine Angriffsart, von der wir erwarten, dass sie sehr erfolgreich ist."

Botezatu rät Benutzern, auf Links zu klicken, die per E-Mail empfangen werden, insbesondere wenn sie mit bit.ly gekürzt werden. Das Bestimmen, ob eine Verbindung vor dem Öffnen bösartig ist, kann bei solchen Angriffen schwierig sein.

In diesem Fall kamen die Nachrichten von Leuten, die die Benutzer kannten - die Absender waren in ihren Kontaktlisten - und die bösartige Seite war gut - wie das respektable MSNBC-Portal aussehen soll, sagte er. "Es ist eine Art von Angriff, von der wir erwarten, dass sie sehr erfolgreich ist."

Aktualisiert am 31. Januar 2013 mit Yahoo Kommentaren