Уязвимость в Yahoo Mail, приводящая к получению писем без темы и единой ссылки

4668
tomlogic

В последнее время я получал случайные электронные письма от друзей с Yahoo Mail (или sbcglobal.net, который использует Yahoo Mail) без темы и некоторого случайного URL, на который я не собираюсь нажимать.

Сначала я подумал, что кто-то завладел их паролем, и рекомендовал обновить пароли.

Я только что получил письмо от кого-то, кто изменил свой пароль на прошлой неделе.

Это какая-то уязвимость межсайтового скриптинга? Есть ли какой-нибудь способ узнать, просто будучи получателем одного из сообщений?

Вот несколько заголовков из недавней почты:

Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT X-Mailer: YahooMailWebService/0.8.118.349524 Message-ID: <1340814210.6602.YahooMailNeo@web83806.mail.sp1.yahoo.com> Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT)

IP в черном списке в полученном заголовке был от динамического IP в Норвегии.

Поэтому я предполагаю, что машина с этим IP-адресом смогла получить cookie-файл Yahoo Mail моего друга и использовать его для отправки электронной почты людям из ее адресной книги. Это звучит точно? Даже если кто-то использовал HTTPS-соединение с Yahoo Mail, специально созданное электронное письмо могло бы извлечь куки-файл и доставить его в другое место с помощью вызова RPCXML, верно?

Так как же защитить учетную запись Yahoo Mail от такой атаки?

ОБНОВЛЕНИЕ: я получил подобные письма от четырех разных людей сейчас. Очевидно, это не единичный инцидент, и пользователи Yahoo Mail наверняка могут что-то сделать, чтобы защитить себя.

1
Смотрите, где вы положили свой пароль. cutrightjm 11 лет назад 0
@ekaj: Always, but in this case, I think it's more likely a session hijacking attack. User opens an email that uses a vulnerability in Yahoo Mail to get their session cookie and then send emails without their knowledge. tomlogic 11 лет назад 0
[http://help.yahoo.com/l/us/yahoo/abuse/reportabuse/security-05.html](http://help.yahoo.com/l/us/yahoo/abuse/reportabuse/security- 05.html «Я хочу сообщить об уязвимости безопасности | Справка по злоупотреблению Yahoo!») bwDraco 11 лет назад 0
Я видел, что это происходит и на учетных записях Hotmail. Зная пароль одной взломанной учетной записи, я иду с медленными попытками грубой силы, упомянутыми ox45tallboy. В этом случае смена пароля работала (пока) для этого человека. 11 лет назад 0

3 ответа на вопрос

1
ox45tallboy

@tomlogic: Мне интересно, происходит ли это из части «Всегда в системе» панели инструментов Yahoo. Нетрудно было бы подделать соединение https, исходящее с сервера Yahoo через сценарии страницы, в основном запрашивая идентификатор пользователя в безопасном формате (хотя, как вы указали, это также может быть файл cookie сеанса, поскольку сеансы Yahoo теперь практически неопределенны по длине), чтобы страница могла знать, какое объявление показывать на основе сохраненного профиля.

Я не знаю, что это на самом деле так, но именно так я и сделал бы: вам нужно снять флажки с лототами, когда вы настраиваете почту Yahoo (и несколько других «бесплатных» приложений), чтобы избежать установка этой чёртовой панели инструментов, которая абсолютно ничего не делает, кроме как предоставляет окно поиска Yahoo (кто больше этим пользуется?) и новое уведомление по электронной почте, а также сохраняет каждый посещенный вами веб-сайт и все, что вы вводите, в незашифрованной веб-форме.

Я отправляю ответы 5 разным людям, которые прислали мне одно из этих писем «без темы со ссылкой на фишинговый сайт», что им следует сменить пароль с другого компьютера или со смартфона, а затем запустить антивирус как а также антишпионское ПО, такое как MalwareBytes или SpyBot, перед входом в Yahoo на своем компьютере, а также удаление панели инструментов Yahoo и связанных приложений Yahoo. Какую дополнительную ценность они обеспечивают?

I'm leaning toward session hijacking, since it seems to happen infrequently. I would think that if someone got ahold of their email address, they'd continue to use it for spamming purposes. That and the fact that I've told people to change their passwords and their accounts still send out this random spam. I guess without getting one of them to volunteer for a Wireshark install and constant data logging, there's no easy way to know for sure. I would think Yahoo would have picked up on this and be tracking down the cause by now. tomlogic 11 лет назад 0
Да, это то, что я вижу, - то же самое, исходящее от одних и тех же пользователей - пустая тема с простой ссылкой на фишинговый сайт. Два пользователя, которые редко проверяют свою электронную почту, прислали мне несколько сообщений, в среднем около одного в день, в то время как другие исправили проблему, как только они сменили свои пароли. ox45tallboy 11 лет назад 0
Я не говорю, что я прямо здесь, но похоже, что смена пароля действительно решает проблему - что заставляет меня полагать, что пароли были слабыми и взломаны в результате медленных попыток перебора в течение нескольких недели (попробуйте всего лишь несколько раз в час, чтобы предотвратить блокировку, но раз более чем 1 000 000 учетных записей быстро дадут результаты), или их компьютер обманом отправили вход в Yahoo в незашифрованном формате, или, как вы сказали, это перехват сеанса с сайта пользователь часто. ox45tallboy 11 лет назад 0
1
Rampazzo

Случилось и с моим аккаунтом в Yahoo. Заражение произошло из-за того, что электронная почта перешла на веб-ссылку, на которую я случайно щелкнул мой Blackberry . Пришлось сменить пароль, удалить подключение Blackberry к электронной почте Yahoo и удалить мой список контактов Yahoo, чтобы быть в безопасности. Сообщали в службу поддержки Yahoo, но они предоставляли только стандартные ответы. Я не установил панель инструментов Yahoo. Я сильно подозреваю, что злоумышленник использует некоторую слабость в инфраструктуре учетных записей Yahoo, возможно, связанную с соединителем Yahoo BIS для Blackberry. Это не похоже ни на попытку взлома пароля, ни на перехват сеанса.

0
shyammakwana.me

Это не межсайтовый скриптинг.

Вполне возможно, что ваш друг является жертвой Phishingили infected by spywareна своем ПК. В интернет-SEA существует множество программ-шпионов, которые крадут пароли пользователей, данные кредитных карт, файлы cookie и т. Д. Важные детали.

Такой тип автоботов устанавливается в браузере как дополнение или расширение и загружается из почтовых сообщений и спама.

Чтобы быть в безопасности Обновляйте свой браузер часто и используйте хорошие шпионские программы (поиск Spybot и уничтожение).

К сожалению, невозможно доказать, что какой-то сервис не имеет какой-либо уязвимости. Единственное, в чем вы можете быть уверены, это то, что вы еще не знаете ни одного. gronostaj 10 лет назад 0
Я знаю это, но меньше возможностей иметь уязвимости в почте Yahoo, чем иметь spybot в системе пользователя. shyammakwana.me 10 лет назад 0

Похожие вопросы