Bitdefender hat einen gegen Nutzer von Yahoo Mail gerichteten Cross-Site-Scripting-Angriff auf eine acht Monate früher geflickte Lücke im Blogsystem WordPress zurückgeführt. Ein Blog in Yahoos Developer Network sei also mindestens für diesen Zeitraum nicht gepatcht worden.
Die Angreifer lockten die Yahoo-Anwender mit der üblichen Methode – nämlich einem manipulierten Link – auf eine eigene, für den Angriff präparierte Site. Unklar blieb aber zunächst, wie die Kriminellen an die von Yahoo genutzten Session-Cookies gelangt waren, mit denen sie anschließend die Yahoo-Session der Besucher kaperten.
Bitdefender zufolge war die Quelle dieser Cookies der Blog-Server von developer.yahoo.com. Der betreffende Fehler – eine Upload-Möglichkeit für Schadcode – war von Neal Poole und Nathan Partlan Anfang letzten Jahres gemeldet worden. WordPress behob ihn mit dem Update auf 3.2.2 im April 2012.
Über die Lücke waren die Angreifer in der Lage, sich Session-Cookies an ihre eigenen Sites com-im9.net und com-io4.net schicken zu lassen. Gegenüber den Opfern tarnten sie sich durch Subdomains, die eine Zugehörigkeit zu MSN vortäuschten, etwa www.msnbc.msn.com-im9.net. Wer den Fehler machte, auf einen solchen Link zu klicken, und gleichzeitig einen Reiter mit Yahoo Mail offen hatte, fiel dem Angriff zum Opfer: Über den fehlerhaften WordPress-Server gelangten die Kriminellen nun an die aktuelle Session-ID des Nutzers bei Yahoo und übernahmen dessen Konto.
Bitdefender zufolge scheint Yahoo seine WordPress-Installation inzwischen gepatcht zu haben. Ein Kommentar von ihm liegt bisher nicht vor.
Über den Angriff kommen die Anwender nicht an das Yahoo-Passwort des Nutzers und können es auch nicht ändern. Allerdings ist es ihnen möglich, damit verbundene weitere Konten anzugreifen – etwa bei Social-Media-Sites oder Onlineshops. Für solche Sites lässt sich auch das Passwort zurücksetzen, das dann ja an die Yahoo-Adresse geschickt wird.
[mit Material von Michael Lee, ZDNet.com]
Tipp: Sind Sie ein SEO-Experte? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
