电子邮件攻击利用在雅虎网站的漏洞劫持帐户

黑客背后最近检测到的电子邮件攻击活动在雅虎网站利用漏洞劫持雅虎用户的电子邮件帐户和据防病毒软件供应商Bitdefender的安全研究人员称，这种攻击始于用户收到一封垃圾邮件，并在主题栏中加上了他们的名字，并在短暂的“检查此页”消息后再稍微缩短链接。点击链接后，用户会到一个网站伪装成包含有关如何赚钱在家工作的一篇文章的MSNBC新闻网站上的BitDefender的研究人员周三在一篇博客文章中说，

乍一看，这似乎没有什么不同来自其他在家工作的骗局网站。然而，在后台，一段JavaScript代码利用雅虎开发者网络（YDN）博客网站中的跨站点脚本（XSS）漏洞窃取访问者的雅虎会话cookie。

[更多阅读：如何从您的Windows PC中删除恶意软件]

工作原理

会话Cookie是浏览器内部网站存储的唯一文本字符串，用于记录登录的用户，直到他们退出。 Web浏览器使用称为同源策略的安全机制来防止在不同选项卡中打开的网站访问彼此的资源，如会话cookie。

通常每个域都实施同源策略。例如，即使用户可能在同一浏览器中同时登录到两个网站，google.com也无法访问yahoo.com的会话cookie。但是，根据Cookie设置，子域名可以访问由其父域设置的会话Cookie。

雅虎似乎就是这种情况，用户仍然登录，无论他们访问的是哪个雅虎子域名，包括developer.yahoo。 COM。

从假MSNBC网站加载的恶意JavaScript代码会强制访问者的浏览器调用developer.yahoo.com与利用的XSS漏洞，并在developer.yahoo的上下文中执行额外的JavaScript代码专门制作的URL。 com子域名

这个附加的JavaScript代码读取Yahoo用户的会话cookie并将其上传到由攻击者控制的网站。然后使用该cookie访问用户的电子邮件帐户并将垃圾邮件发送给其所有联系人。从某种意义上说，这是一个XSS供电，自我传播的蠕虫病毒的电子邮件。

的利用XSS漏洞实际上是位于所谓的SWFUpload一个WordPress组件和WordPress版本3.3.2这是在2012年4月发布了补丁，该Bitdefender的研究人员说。然而，YDN博客网站似乎使用的是过时的WordPress版本。

如何避免麻烦

Bitdefender研究人员在星期三发现了攻击事件后，搜索了该公司的垃圾邮件数据库，发现了几乎可以追溯到月，Bitdefender的高级电子威胁分析师Bogdan Botezatu表示，周四通过电子邮件发送消息称，“估计这种攻击的成功率非常困难，因为在传感器网络中无法看到”，他说过。 “但是，我们估计过去一个月内我们处理的垃圾邮件中大约有百分之一是由于这起事件造成的。”

Bitdefender周三报道了雅虎的弱点，但它在周四仍然可以被利用，Botezatu说。 。 “我们的一些测试账户仍然在发送这种特定类型的垃圾邮件，”他表示，“在周四晚些时候发布的声明中，雅虎表示已经修补了这个漏洞。”

雅虎需要安全和我们用户的数据严重“，一位雅虎代表通过电子邮件说。 “我们最近从外部安全公司获悉了一个漏洞，并确认我们修复了这个漏洞。我们鼓励有关用户将他们的密码更改为一个包含字母，数字和符号的强密码;并且允许第二次登录挑战他们的账户设置。“

Botezatu建议用户避免点击通过电子邮件收到的链接，特别是如果他们缩短bit.ly.他表示，在打开链接之前确定链接是否是恶意的可能会导致这类攻击，

在这种情况下，邮件来自用户知道的人 - 发件人在其联系人列表中 - 以及恶意站点他被精心设计成看起来像可敬的MSNBC门户网站，他说。 “这是一种类型的攻击，我们预计会非常成功。”

Botezatu建议用户避免点击通过电子邮件收到的链接，特别是如果他们用bit.ly缩短链接。他表示，在打开这个链接之前确定一个链接是否是恶意的可能会导致这样的攻击。<​​

在这种情况下，这些消息来自用户知道的人 - 发件人在他们的联系人列表中 - 并且恶意网站很好他说，制作成看起来像可敬的MSNBC门户网站。 “这是一种类型的攻击，我们预计会非常成功。”

更新于2013年1月31日，雅虎评论