電子メールアカウントのハイジャックを許すYahoo plugs hole

最近発見された電子メール攻撃キャンペーンの背後にあるハッカーは、YahooのWebサイトの脆弱性を利用して、Yahooユーザーの電子メールアカウントをハイジャックし、スパムに使用すると、ウイルス対策ベンダーのセキュリティ研究者によるとBitdefender。攻撃は、件名にスパムメールを受信し、短い「check out this page」メッセージの後にbitlyly短縮リンクが続くユーザから始まります。このリンクをクリックすると、MSNBCのニュースサイトに偽装されたウェブサイトに誘導され、自宅で仕事をしている間にお金を稼ぐ方法についての記事が掲載されていると、Bitdefenderの研究者は水曜日にブログ記事で述べている。他の職場からの詐欺サイトから。しかし、バックグラウンドでは、JavaScriptコードの一部が、訪問者のYahooセッションCookieを盗むために、Yahoo Developer Network（YDN）のブログサイトのクロスサイトスクリプティング（XSS）脆弱性を悪用しています。あなたのWindows PCからマルウェアを削除する]

セッションCookieの開封

セッションCookieは、ログアウトしたユーザーをログアウトするまで覚えておくために、ブラウザ内のWebサイトによって保存される一意の文字列です。 Webブラウザは、同じ出所ポリシーと呼ばれるセキュリティメカニズムを使用して、異なるタブで開いたWebサイトがセッションCookieなどのリソースにアクセスするのを防ぎます。

同じ発信元ポリシーは、通常、ドメインごとに適用されます。たとえば、google.comはyahoo.comのセッションCookieにアクセスできません。同じブラウザで同時にWebサイトにアクセスすることはできますが、Cookieの設定によっては、サブドメインが親ドメインによって設定されたセッションCookieにアクセスできるようになります。

MSNBCの偽のウェブサイトからロードされた不正なJavaScriptコードは、訪問者のブラウザがXSSの脆弱性を悪用する特別に細工されたURLを使用してdeveloper.yahoo.comに電話をかけ、追加のJavaScriptこのJavaScriptコードは、YahooユーザーのセッションCookieを読み取り、攻撃者によって制御されたWebサイトにアップロードします。次に、Cookieを使用してその使用にアクセスしますrの電子メールアカウントを作成し、すべての連絡先に迷惑メールを送信します。 XSSの脆弱性は実際にはSWFUploadと呼ばれるWordPressコンポーネントに存在し、2012年4月にリリースされたWordPressバージョン3.3.2で修正されました。 Bitdefenderの研究者は言った。しかし、YDNブログのサイトでは、WordPressの古いバージョンが使われているようだ。

攻撃が報告され、潰れた

水曜日の攻撃を発見した後、Bitdefenderの研究者は同社のスパムデータベースを検索し、 Bitdefenderの上級電子脅威アナリスト、Bogdan Botezatuは、電子メールで木曜日に報告した。

"このような攻撃の成功率は、センサーネットワークでは見られないため、前記。しかし、我々は過去1ヶ月間に処理した迷惑メールの約1％がこの事件の原因であると推測している」と述べた。Bitdefenderはこの脆弱性をYahooに報告したが、木曜日にはまだ悪用されているようだ。

ヤフーの声明によると、ヤフーは、この脆弱性にパッチを当てたと述べている。

"ヤフーはセキュリティとユーザーのデータを取っている真剣に、 "Yahooの代理人は電子メールで言った。 「最近、外部のセキュリティ会社の脆弱性を知り、脆弱性を修正したことを確認します。パスワードを文字、数字、記号を組み合わせた強力なパスワードに変更することをお勧めします。彼らのアカウント設定。 "

Botezatuは、特にbit.lyで短縮された場合、電子メールで受信したリンクをクリックしないようにユーザーに指示しました。

この場合、メッセージはユーザーが知っていた - 発信者が連絡先リストにあった - 悪意のあるサイトがうまくいたから来ています巧みなMSNBCポータルのように作られている、と彼は言った。 「これは非常に成功すると予想される攻撃の一種です。」