Bitdefender hat einen gegen Nutzer von Yahoo Mail gerichteten Cross-Site-Scripting-Angriff auf eine acht Monate früher geflickte Lücke im Blogsystem WordPress zurückgeführt. Ein Blog in Yahoos Developer Network sei also mindestens für diesen Zeitraum nicht gepatcht worden.
Die Angreifer lockten die Yahoo-Anwender mit der üblichen Methode – nämlich einem manipulierten Link – auf eine eigene, für den Angriff präparierte Site. Unklar blieb aber zunächst, wie die Kriminellen an die von Yahoo genutzten Session-Cookies gelangt waren, mit denen sie anschließend die Yahoo-Session der Besucher kaperten.
Bitdefender zufolge war die Quelle dieser Cookies der Blog-Server von developer.yahoo.com. Der betreffende Fehler – eine Upload-Möglichkeit für Schadcode – war von Neal Poole und Nathan Partlan Anfang letzten Jahres gemeldet worden. WordPress behob ihn mit dem Update auf 3.2.2 im April 2012.
Über die Lücke waren die Angreifer in der Lage, sich Session-Cookies an ihre eigenen Sites com-im9.net und com-io4.net schicken zu lassen. Gegenüber den Opfern tarnten sie sich durch Subdomains, die eine Zugehörigkeit zu MSN vortäuschten, etwa www.msnbc.msn.com-im9.net. Wer den Fehler machte, auf einen solchen Link zu klicken, und gleichzeitig einen Reiter mit Yahoo Mail offen hatte, fiel dem Angriff zum Opfer: Über den fehlerhaften WordPress-Server gelangten die Kriminellen nun an die aktuelle Session-ID des Nutzers bei Yahoo und übernahmen dessen Konto.
Bitdefender zufolge scheint Yahoo seine WordPress-Installation inzwischen gepatcht zu haben. Ein Kommentar von ihm liegt bisher nicht vor.
Über den Angriff kommen die Anwender nicht an das Yahoo-Passwort des Nutzers und können es auch nicht ändern. Allerdings ist es ihnen möglich, damit verbundene weitere Konten anzugreifen – etwa bei Social-Media-Sites oder Onlineshops. Für solche Sites lässt sich auch das Passwort zurücksetzen, das dann ja an die Yahoo-Adresse geschickt wird.
[mit Material von Michael Lee, ZDNet.com]
Tipp: Sind Sie ein SEO-Experte? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
