Come funziona l'exploit webmail di Yahoo?

4

Ho ricevuto un'email (mi riferivo a me per nome) da qualcuno che conoscevo da un po 'di tempo fa e l'email stessa era solo due / tre righe contenenti un link bit-ly. Sebbene sembrasse che in realtà potrebbe essere legittimo, non ho fatto clic sul link ma copiato e incollato nel mio browser in una nuova scheda. Mi ha portato a un sito di MSNBC falso con un articolo stupido senza ricevere alcun avvertimento dalla mia suite di Kaspersky. Quindi ho cancellato l'email.

Poi, otto ore dopo, vedo che email simili sono state inviate dal mio account di posta elettronica a tutti i membri del mio elenco di contatti. Queste e-mail erano effettivamente nella mia cartella inviata e la gente aveva risposto di nuovo.

Non penso che il mio account (yahoo) sia stato effettivamente dirottato perché potevo ancora accedere e naturalmente ASAP ho aumentato tutte le opzioni di sicurezza e ho cambiato una password molto più difficile. Ora, molti giorni dopo, non ho visto altre attività sospette sul mio account. Tutto sembra di nuovo normale.

Le mie domande sono: come funziona? La pagina di MSNBC è stata falsa facendo qualcosa come eseguire uno script? Ma come è entrato nella mia lista di contatti yahoo e letto tutti gli indirizzi, i nomi e le email composte e li ha inviati?

EDIT # 1: E per aggiungere, ho anche controllato il registro delle attività recenti su yahoo, non appena ho scoperto l'attacco e le volte e i luoghi mostrati sono tutti coerenti con il mio utilizzo, come se avessi effettuato l'accesso al momento e mostra anche la mia posizione fisica. Ho una soluzione antivirus / firewall che viene continuamente aggiornata. Ho un router wireless con impostazioni di sicurezza abbastanza forti su di esso (non usando i valori predefiniti o altro), con password wireless (media potenza), filtro MAC e crittografia WPA-WPA2.

EDIT # 2: Ecco il link bitly http://bit.ly/VVqekC .

Aggiornamento: il bitly-link è stato disabilitato. Il sito Web, che ospitava l'exploit CSRF su Yahoo Webmail, è stato chiuso.

Modifica n. 3: grazie per le risposte a tutti. Ha senso. Ma ho ancora due domande. C'è qualche ulteriore pericolo a causa di questo specifico attacco? Qualche informazione è stata compromessa come una qualsiasi delle mie e-mail nella mia posta in arrivo o nella cartella inviata o nella mia vecchia password? Ho cambiato la mia password e cancellato tutto dalla cronologia / cookie / cache non appena ho scoperto. Inoltre, ho la versione gratuita che non ti consente di inoltrare tutte le email in arrivo, ma qualcosa del genere potrebbe essere stato configurato? Secondo, qual era il punto di questo attacco? Per quale fine era? Solo per farmi leggere (e tutti gli altri che conosco) un articolo innocuo?

    
posta Fixed Point 02.02.2013 - 05:50
fonte

2 risposte

8

La pagina di MSNBC finta probabilmente conteneva un Falsificazione richiesta tra siti (CSRF) attacco alla webmail di Yahoo.

Questi attacchi sfruttano le funzioni dell'applicazione web che non controllano l'identità dell'utente in modo corretto, ma si fidano ciecamente dei cookie di sessione. Pertanto, se si è effettuato l'accesso a Yahoo mail al momento dell'attacco, l'applicazione Web non ha avuto modo di dire se le sue richieste erano legittime o meno, in quanto il browser invia automaticamente i cookie appropriati a Yahoo.

Non stai notando nulla di strano con i registri delle attività di Yahoo perché il browser che ha effettivamente inviato tali e-mail è tuo e l'utente malintenzionato non ha mai acquisito il controllo completo del tuo account (ma solo delle funzionalità vulnerabili).

I have an antivirus/firewall solution which is continuously updated. I have a wireless router with fairly strong security settings on it (not using the defaults or anything), with (medium strength) wireless password, MAC filtering and WPA-WPA2 encryption.

Mentre queste soluzioni di sicurezza vanno bene, non ti proteggeranno da CSRF (o simili attacchi basati sul web). Il miglior meccanismo di difesa in questo caso è l'utilizzo di un addon script-blocker (ad esempio NoScript) e consente solo ai domini trusted di eseguire codice.

Il mio suggerimento finale è di disconnettersi sempre dalle applicazioni Web critiche (ad es. home banking) dopo l'uso, al fine di ridurre al minimo le probabilità di ottenere CSRFed e segnalare il collegamento malevolo a Yahoo, sperando che risolvano le vulnerabilità.

    
risposta data 02.02.2013 - 14:34
fonte
3

link

The JavaScript exploits an old WordPress blog security hole in developer.yahoo.com to lift the user's mail.yahoo.com cookie. Using this harvested information, crooks can masquerade as the victim to send spam or pinch contacts’ e-mail addresses.

link

The vulnerability that WordPress patched last April was known as a reflected cross-site scripting bug...

Sebbene non sia dovuto a bug del browser di per sé, a volte questo tipo di attacco può essere rilevato e impedito dall'euristica nel browser. Per esempio. NoScript in Firefox (anche con javascript abilitato per tutti i siti). So che IE e Chrome hanno anche filtri per xss riflessi. L'efficacia può variare tra le diverse implementazioni dei filtri.

...If Bitdefender researchers are correct in saying the campaign targeting Yahoo accounts began roughly a month ago, and that the hack worked because administrators didn't apply a patch released more than eight months ago, this is a serious misstep on the part of Yahoo admins. Add to that Yahoo's failure to warn its users once the attacks became public and its PR department's failure to reply to my e-mail inquiries and it's even harder to excuse what's happened here. What's more, a report released Tuesday by security firm Imperva details a separate SQL injection attack that last month gave hackers control over Yahoo servers, suggesting that such problems are systemic.

Given the huge financial and competitive strains the company faces, an about-face doesn't look likely anytime soon. That's why I suggested my neighbor switch to Gmail. Google's service is by no means perfect, but it has been the undisputed leader in Web mail security. It was the first to offer always-on HTTPS protection that encrypts mail sessions from start to finish, and it employs world-class security experts

    
risposta data 02.02.2013 - 19:16
fonte

Leggi altre domande sui tag