전자 메일 계정의 하이재킹을 허용하는 Yahoo 플러그 구멍

다른 재택 근무 사기 사이트에서. 그러나 백그라운드에서 JavaScript 코드는 방문자의 Yahoo 세션 쿠키를 훔치기 위해 YDN (Yahoo Developer Network) 블로그 사이트의 XSS (cross-site scripting) 취약점을 악용합니다.

[추가 정보: 방법 Windows PC에서 멀웨어 제거]

세션 쿠키 열기

세션 쿠키는 로그인 할 때까지 로그인 한 사용자를 기억하기 위해 브라우저 내부의 웹 사이트에 저장된 텍스트의 고유 한 문자열입니다. 웹 브라우저는 동일한 출처 정책이라는 보안 메커니즘을 사용하여 다른 탭에서 열어 본 웹 사이트가 세션 쿠키와 같은 다른 리소스에 액세스하지 못하도록합니다. (<슈퍼 커키로부터 자신을 보호하는 방법>도 참조하십시오.)

같은 출처 정책은 일반적으로 도메인별로 시행됩니다. 예를 들어 google.com은 yahoo.com의 세션 쿠키에 액세스 할 수 없습니다. 웹 사이트를 동일한 브라우저에서 동시에 사용할 수 있지만 쿠키 설정에 따라 하위 도메인은 상위 도메인에서 설정 한 세션 쿠키에 액세스 할 수 있습니다.

Yahoo와는 어떤 관계가 있더라도 사용자는 로그인 한 상태로 유지됩니다 야후의 하위 도메인은 developer.yahoo.com을 포함하여 방문합니다.

위조 된 MSNBC 웹 사이트에서로드 된 가짜 JavaScript 코드는 방문자의 브라우저가 XSS 취약성을 악용하는 URL로 developer.yahoo.com을 호출하도록 강제하고 추가 JavaScript 이 JavaScript 코드는 Yahoo 사용자의 세션 쿠키를 읽고 공격자가 제어하는 ​​웹 사이트에 업로드 한 다음 쿠키를 사용하여 사용에 액세스합니다 r의 전자 메일 계정에 저장하고 모든 연락처에 스팸 전자 메일을 보냅니다. 어떤 의미에서는 XSS 기반의 자체 전파 전자 메일 웜입니다.

익스플로잇 된 XSS 취약점은 실제로 SWFUpload라는 워드 프레스 구성 요소에 있으며 2012 년 4 월에 릴리스 된 WordPress 버전 3.3.2에서 패치되었습니다. Bitdefender 연구원은 말했다. 그러나 YDN 블로그 사이트는 WordPress의 오래된 버전을 사용하고있는 것으로 보인다.

Exploit reported, squashed

수요일에 공격을 발견 한 후 Bitdefender 연구원은 회사의 스팸 데이터베이스를 검색하여 거의 비슷한 메시지를 발견했다. 전자 메일을 통해 Bitdefender의 선임 전자 위협 분석가 인 Bogdan Botezatu는 말했다. "센서 네트워크에서 볼 수 없기 때문에 그러한 공격의 성공률을 예측하는 것은 극히 어렵습니다." 고 밝혔다. 그러나 우리는 지난 달에 처리 한 스팸의 약 1 %가이 사건으로 인해 발생한 것으로 추정하고있다 "고 말했다.

Bitdefender는 수요일 야후에 대한 취약점을보고했으나 목요일에는 여전히 악용 될 것으로 보테라고 Botezatu는 말했다. 그는 "테스트 계정 중 일부는 여전히이 특정 유형의 스팸을 보내고있다"며 "야후는 목요일에 보낸 성명서에서이 취약점을 패치했다고 말했다."야후는 보안과 사용자의 데이터를 취한다. 심각하게, "야후 관계자는 이메일을 통해 말했다. "우리는 최근에 외부 보안 회사의 취약점을 알아 냈으며 우리가 취약점을 수정했음을 확인했습니다. 관련 사용자가 문자, 숫자 및 기호를 조합 한 강력한 암호로 암호를 변경하고 두 번째 로그인 시도를 활성화 할 것을 권장합니다. 계정 설정. "

Botezatu는 이메일을 통해 수신 된 링크를 클릭하지 않는 것이 좋습니다. 특히 bit.ly로 줄이면 더 좋습니다. 이 링크를 열지 전에 링크가 악의적인지 여부를 결정하는 것은 이러한 공격과 관련하여 어려울 수 있다고 그는 말했다.

이 경우 메시지는 사용자가 알고있는 사람들 - 발신자가 연락처 목록에 있었고 악의적 인 사이트가 잘된 사람들 존경받는 MSNBC 포털처럼 보이게 만들었다 고 그는 말했다. "이것은 우리가 대성공을 거둘 것으로 기대하는 공격 유형입니다."