Yahoo tapa el agujero que permitió el secuestro de cuentas de correo electrónico

El ataque comienza con los usuarios que reciben un correo electrónico no deseado con su nombre en la línea de asunto y un breve mensaje "revisa esta página" seguido de un enlace con bit.ly acortado. Al hacer clic en el enlace, los usuarios ingresan a un sitio web disfrazado como el sitio de noticias de MSNBC que contiene un artículo sobre cómo ganar dinero mientras trabajan desde su casa, informaron los investigadores de Bitdefender en una publicación de blog.

A primera vista, esto no parece diferente de otros sitios de estafas de trabajo desde el hogar. Sin embargo, en el fondo, un fragmento de código JavaScript explota una vulnerabilidad de scripts entre sitios (XSS) en el sitio de blog Yahoo Developer Network (YDN) para robar la cookie de sesión de Yahoo del visitante.

[Más información: cómo eliminar malware de su PC con Windows]

Cookies de sesión abren puertas

Las cookies de sesión son cadenas únicas de texto almacenadas por sitios web dentro de los navegadores para recordar a los usuarios que han iniciado sesión hasta que se desconectan. Los navegadores web usan un mecanismo de seguridad llamado política del mismo origen para evitar que los sitios web abiertos en diferentes pestañas accedan a los recursos de los demás, como las cookies de sesión. (Consulte también Cómo protegerse de Supercookies. ")

Por lo general, se aplica la política de origen idéntico por dominio. Por ejemplo, google.com no puede acceder a las cookies de sesión para yahoo.com, aunque el usuario puede haber iniciado sesión en ambos sitios web al mismo tiempo en el mismo navegador. Sin embargo, dependiendo de la configuración de las cookies, los subdominios pueden acceder a las cookies de sesión establecidas por sus dominios principales.

Este parece ser el caso de Yahoo, donde el usuario permanece conectado independientemente de Subdominio de Yahoo que visitan, incluido developer.yahoo.com.

El código JavaScript fraudulento cargado desde el falso sitio web de MSNBC obliga al navegador del visitante a llamar a developer.yahoo.com con una URL específicamente diseñada que explota la vulnerabilidad XSS y ejecuta JavaScript adicional código en el contexto del subdominio developer.yahoo.com.

Este código JavaScript adicional lee la cookie de sesión del usuario de Yahoo y la carga en un sitio web controlado por los atacantes. La cookie se utiliza para acceder al uso la cuenta de correo electrónico de r y envía el correo electrónico no deseado a todos sus contactos. En cierto sentido, se trata de un gusano de correo electrónico auto propagado alimentado por XSS.

La vulnerabilidad XSS explotada se encuentra realmente en un componente de WordPress llamado SWFUpload y fue parcheado en la versión 3.3.2 de WordPress que se lanzó en abril de 2012, el Los investigadores de Bitdefender dijeron. Sin embargo, el sitio YDN Blog parece estar usando una versión obsoleta de WordPress.

Exploit informó, aplastado

Después de descubrir el ataque el miércoles, los investigadores de Bitdefender buscaron en la base de datos de spam de la compañía y encontraron mensajes muy similares que datan de casi un "Es extremadamente difícil estimar la tasa de éxito de tal ataque porque no se puede ver en la red de sensores", dijo Bogdan Botezatu, analista senior de e-sports en Bitdefender, el jueves por correo electrónico. dijo. "Sin embargo, estimamos que aproximadamente un uno por ciento del spam que hemos procesado en el último mes es causado por este incidente".

Bitdefender informó la vulnerabilidad a Yahoo el miércoles, pero aún parecía ser explotable el jueves, dijo Botezatu.. "Algunas de nuestras cuentas de prueba siguen enviando este tipo específico de correo no deseado", dijo.

En un comunicado enviado más tarde el jueves, Yahoo dijo que había corregido la vulnerabilidad.

"Yahoo toma seguridad y los datos de nuestros usuarios" en serio ", dijo un representante de Yahoo por correo electrónico. "Recientemente nos enteramos de una vulnerabilidad de una empresa de seguridad externa y confirmamos que hemos solucionado la vulnerabilidad. Alentamos a los usuarios preocupados a cambiar sus contraseñas por una contraseña segura que combine letras, números y símbolos, y para habilitar el segundo desafío de inicio de sesión en la configuración de su cuenta. "

Botezatu aconsejó a los usuarios que eviten hacer clic en los enlaces recibidos por correo electrónico, especialmente si se acortan con bit.ly. Determinar si un enlace es malicioso antes de abrirlo puede ser difícil con ataques como estos, dijo.

En este caso, los mensajes procedían de personas que los usuarios conocían (los remitentes estaban en sus listas de contactos) y el sitio malicioso estaba bien. "hecho a mano para parecerse al respetable portal de MSNBC", dijo. "Es un tipo de ataque que esperamos que tenga mucho éxito".