Bitdefender: Yahoo-Mail-Angriff nutzte WordPress-Fehler

Ein Blog-Server unter developer.yahoo.com war mindestens acht Monate lang nicht gepatcht worden. Über ihn gelangten Kriminelle an Session-IDs von Yahoo-Nutzern. So konnten sie eventuell offene Yahoo-Sessions der Besucher ihrer Sites kapern.

Bitdefender hat einen gegen Nutzer von Yahoo Mail gerichteten Cross-Site-Scripting-Angriff auf eine acht Monate früher geflickte Lücke im Blogsystem WordPress zurückgeführt. Ein Blog in Yahoos Developer Network sei also mindestens für diesen Zeitraum nicht gepatcht worden.

yahoo2-v6

Die Angreifer lockten die Yahoo-Anwender mit der üblichen Methode – nämlich einem manipulierten Link – auf eine eigene, für den Angriff präparierte Site. Unklar blieb aber zunächst, wie die Kriminellen an die von Yahoo genutzten Session-Cookies gelangt waren, mit denen sie anschließend die Yahoo-Session der Besucher kaperten.

Bitdefender zufolge war die Quelle dieser Cookies der Blog-Server von developer.yahoo.com. Der betreffende Fehler – eine Upload-Möglichkeit für Schadcode – war von Neal Poole und Nathan Partlan Anfang letzten Jahres gemeldet worden. WordPress behob ihn mit dem Update auf 3.2.2 im April 2012.

Über die Lücke waren die Angreifer in der Lage, sich Session-Cookies an ihre eigenen Sites com-im9.net und com-io4.net schicken zu lassen. Gegenüber den Opfern tarnten sie sich durch Subdomains, die eine Zugehörigkeit zu MSN vortäuschten, etwa www.msnbc.msn.com-im9.net. Wer den Fehler machte, auf einen solchen Link zu klicken, und gleichzeitig einen Reiter mit Yahoo Mail offen hatte, fiel dem Angriff zum Opfer: Über den fehlerhaften WordPress-Server gelangten die Kriminellen nun an die aktuelle Session-ID des Nutzers bei Yahoo und übernahmen dessen Konto.

Bitdefender zufolge scheint Yahoo seine WordPress-Installation inzwischen gepatcht zu haben. Ein Kommentar von ihm liegt bisher nicht vor.

Über den Angriff kommen die Anwender nicht an das Yahoo-Passwort des Nutzers und können es auch nicht ändern. Allerdings ist es ihnen möglich, damit verbundene weitere Konten anzugreifen – etwa bei Social-Media-Sites oder Onlineshops. Für solche Sites lässt sich auch das Passwort zurücksetzen, das dann ja an die Yahoo-Adresse geschickt wird.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Sind Sie ein SEO-Experte? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Bitdefender, Cybercrime, E-Mail, Malware, WordPress, Yahoo

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Bitdefender: Yahoo-Mail-Angriff nutzte WordPress-Fehler

Kommentar hinzufügen
  • Am 6. Februar 2013 um 23:29 von Tom

    Das sieht man mal wieder die Leichtgläubigkeit und Dummheit einiger User.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *