背后最近检测到的电子邮件攻击的黑客活动在雅虎网站劫持雅虎用户的电子邮件帐户,并使用他们的垃圾邮件利用漏洞,据反病毒厂商BitDefender的安全研究人员。
攻击始于用户在主题行收到的垃圾邮件与他们的名字和短暂的“查看此页面”消息和一个bit.ly缩短链接。点击链接后,用户会到一个网站伪装成包含有关如何赚钱在家工作的一篇文章的MSNBC新闻网站BitDefender的研究人员周三称的,博客文章。
乍一看,这似乎没有其他的工作,从家庭诈骗网站不同。然而,在后台,一段JavaScript代码利用了雅虎开发者网络(YDN)博客一个跨站点脚本(XSS)漏洞现场以窃取访问者的雅虎会话cookie。
会话cookie是由浏览器内部网站为了记住存储的文本的唯一字符串登录用户,直到他们登出。Web浏览器使用称为同源策略,以防止在不同的标签页中打开网站访问对方的资源,像会话cookie的安全机制。
同源策略通常是每个域执行。例如,google.com不能访问yahoo.com的会话cookie即使用户可能在同一浏览器中同时登录到这两个网站。然而,这取决于Cookie设置,子域可以访问他们的父域设置会话cookie。
这似乎是与雅虎,无论在哪里,用户仍然登录在什么雅虎子域他们的访问,包括developer.yahoo.com的情况。
流氓JavaScript代码从假MSNBC网站势力访问者的浏览器调用developer.yahoo.com与利用的XSS漏洞,并在developer.yahoo.com子域的上下文中执行额外的JavaScript代码特制的URL加载。
这种额外的JavaScript代码读取雅虎用户的会话cookie,并上传到由黑客控制的网站。然后,将Cookie用于访问用户的电子邮件帐户并发送垃圾邮件给所有他们的联系人。从某种意义上说,这是一个XSS供电,自我传播的蠕虫病毒的电子邮件。
,BitDefender的研究人员说,利用XSS漏洞实际上是位于所谓的SWFUpload一个WordPress组件和WordPress版本3.3.2这是在2012年4月发布了补丁。然而,YDN博客网站似乎在使用WordPress的过时的版本。
发现在星期三的袭击事件发生后,BitDefender的研究人员搜查了公司的垃圾邮件数据库,发现近一个月追溯到非常类似的消息,波格丹Botezatu,在BitDefender的高级电子威胁的分析师,通过电子邮件说,星期四。
“这是非常难以估算这种攻击的成功率,因为它不能在传感器网络中可以看到,”他说。“不过,我们估计在过去一个月处理的垃圾邮件大约一个百分点是由这一事件引起的。”
BitDefender的报告漏洞雅虎在周三,但它仍然似乎是可利用周四,Botezatu说。“是我们的一些测试帐户仍发送垃圾邮件的这种特定类型的,”他说。
在在周四晚些时候发出一份声明中,雅虎表示,它已修补漏洞。
“雅虎需要安全和我们用户的数据严重,”雅虎代表在电子邮件中说。“我们最近了解到一个漏洞从外部安全公司,并确认我们已经修复了漏洞,我们鼓励有关用户更改他们的密码,一个强壮的密码,结合字母,数字和符号;并能够在第二次登录挑战他们的帐户设置“。
Botezatu建议用户避免点击通过电子邮件收到的链接,特别是如果他们有bit.ly.缩短确定链路是否打开,可能很难与这样的袭击之前的恶意,他说。
发件人在他们的联系人名单 - - 在这种情况下,消息从人的用户知道来了,恶意网站是精心设计的,看起来像尊敬的MSNBC门户网站,他说。“这是我们期望成为非常成功的一个类型的攻击。”