Calling All Cars: June Bug / Trailing the San Rafael Gang / Think Before You Shoot
Inhaltsverzeichnis:
Hacker hinter einer kürzlich entdeckten E-Mail-Angriffskampagne nutzen eine Sicherheitslücke auf einer Yahoo-Website aus, um die E-Mail-Konten von Yahoo-Nutzern zu entführen und sie für Spam zu verwenden Bitdefender.
Der Angriff beginnt damit, dass Benutzer eine Spam-E-Mail mit ihrem Namen in der Betreffzeile und einer kurzen Nachricht "Diese Seite auschecken" erhalten, gefolgt von einem etwas gekürzten Link. Wenn man auf den Link klickt, gelangen die Nutzer zu einer Website, die sich als MSNBC-Nachrichtenseite mit einem Artikel über Geldverdienen während der Arbeit von zu Hause aus präsentiert, sagten die Bitdefender-Forscher am Mittwoch in einem Blogbeitrag.
Auf den ersten Blick scheint das nicht anders zu sein von anderen Work-from-Home-Betrügereien. Im Hintergrund nutzt ein Stück JavaScript-Code jedoch eine Cross-Site-Scripting-Lücke (XSS) auf der Yahoo Developer Network (YDN) -Blog-Site, um den Yahoo-Sitzungscookie des Besuchers zu stehlen.
[Weitere Informationen: Wie? Malware von Ihrem Windows PC entfernen]Sitzungs-Cookies öffnen sich
Sitzungs-Cookies sind eindeutige Textfolgen, die von Websites in Browsern gespeichert werden, um sich an eingeloggte Benutzer zu erinnern, bis sie sich abmelden. Webbrowser verwenden einen Sicherheitsmechanismus, der als Richtlinie für denselben Ursprung bezeichnet wird, um zu verhindern, dass Websites, die auf verschiedenen Registerkarten geöffnet sind, auf andere Ressourcen zugreifen, z. B. Sitzungscookies. (Siehe auch So schützen Sie sich vor Supercookies.)
Die Richtlinie für denselben Ursprung wird normalerweise für jede Domäne erzwungen, beispielsweise kann google.com nicht auf die Sitzungscookies für yahoo.com zugreifen, obwohl der Benutzer bei beiden angemeldet ist Websites können gleichzeitig im selben Browser betrieben werden, je nach den Cookie-Einstellungen können die Subdomains jedoch auf Sitzungscookies zugreifen, die durch ihre übergeordneten Domänen festgelegt sind.
Dies scheint bei Yahoo der Fall zu sein, wo der Benutzer ungeachtet dessen angemeldet bleibt Yahoo subdomain, die sie besuchen, einschließlich developer.yahoo.com.
Der falsche JavaScript-Code, der von der gefälschten MSNBC-Website geladen wurde, zwingt den Browser des Besuchers, developer.yahoo.com mit einer speziell gestalteten URL aufzurufen, die die XSS-Schwachstelle ausnutzt und zusätzliches JavaScript ausführt Code im Kontext der subdomain developer.yahoo.com.
Dieser zusätzliche JavaScript-Code liest den Sitzungscookie des Yahoo-Benutzers und lädt ihn auf eine von den Angreifern kontrollierte Website hoch, über die er dann auf die Nutzung zugreifen kann rs E-Mail-Konto und senden Sie die Spam-E-Mail an alle ihre Kontakte. In gewissem Sinne ist dies ein XSS-gestützter, sich selbst ausbreitender E-Mail-Wurm.
Die ausgenutzte XSS-Schwachstelle befindet sich tatsächlich in einer WordPress-Komponente namens SWFUpload und wurde in WordPress Version 3.3.2 gepatcht, die im April 2012 veröffentlicht wurde Bitdefender-Forscher sagten. Die Website des YDN-Blogs scheint jedoch eine veraltete Version von WordPress zu verwenden.
Exploit gemeldet, gequetscht
Nachdem die Bitdefender-Forscher den Angriff am Mittwoch entdeckt hatten, durchsuchten sie die Spam-Datenbank des Unternehmens und fanden sehr ähnliche Nachrichten Monat, sagte Bogdan Botezatu, Senior E-Threat Analyst bei Bitdefender, Donnerstag per E-Mail.
"Es ist extrem schwierig, die Erfolgsrate eines solchen Angriffs abzuschätzen, weil er im Sensornetzwerk nicht zu sehen ist", sagte er sagte. "Wir schätzen jedoch, dass rund ein Prozent der Spam-Mails, die wir im vergangenen Monat verarbeitet haben, auf diesen Vorfall zurückzuführen sind."
Bitdefender berichtete am Mittwoch von der Sicherheitslücke bei Yahoo, die jedoch am Donnerstag noch ausnutzbar schien, sagte Botezatu. "Einige unserer Test-Accounts senden immer noch diese spezielle Art von Spam", sagte er.
In einer Stellungnahme, die später am Donnerstag gesendet wurde, sagte Yahoo, dass die Sicherheitslücke gepatched wurde.
"Yahoo braucht Sicherheit und die Daten unserer Nutzer ernsthaft ", sagte ein Yahoo-Vertreter per E-Mail. "Wir haben kürzlich von einer Sicherheitslücke in einem externen Sicherheitsunternehmen erfahren und bestätigt, dass wir die Schwachstelle behoben haben. Wir ermutigen betroffene Benutzer, ihre Passwörter zu einem starken Passwort zu ändern, das Buchstaben, Zahlen und Symbole kombiniert ihre Kontoeinstellungen. "
Botezatu rät Nutzern, auf Links zu klicken, die per E-Mail empfangen werden, insbesondere wenn sie mit bit.ly gekürzt werden. Das Bestimmen, ob eine Verbindung vor dem Öffnen bösartig ist, kann bei solchen Angriffen schwierig sein.
In diesem Fall kamen die Nachrichten von Leuten, die die Benutzer kannten - die Absender waren in ihren Kontaktlisten - und die bösartige Seite war gut - wie das respektable MSNBC-Portal aussehen soll, sagte er. "Es ist eine Art Angriff, von dem wir erwarten, dass er sehr erfolgreich ist."
Angreifer entführen die .ro-Domains von Google, Microsoft, Yahoo, andere
Die rumänischen Domainnamen von Google, Yahoo, Microsoft, Kaspersky Lab und andere Unternehmen wurden am Mittwoch entführt und auf einen gehackten Server in den Niederlanden weitergeleitet.
SkyDrive erlaubt jetzt die Bearbeitung von Dokumenten ohne Anmeldung.
Microsoft hat seine Office Web Apps so geändert, dass Benutzer anderen zur Bearbeitung oder Anzeige Zugriff gewähren können das Fliegen, ohne ein Konto zu benötigen.
Sind keine Apps für nicht jugendfreie Inhalte erlaubt. In Windows Phone 7 Marketplace sind keine Apps für Erwachsene erlaubt.
Microsoft hat kürzlich eine Reihe von Richtlinien veröffentlicht der Windows Phone 7-Marktplatz. Eine Klausel in den Microsoft Marketplace-Richtlinien verbietet alle nicht jugendfreien Inhalte und setzt viele andere Einschränkungen.