Bitdefender hat einen gegen Nutzer von Yahoo Mail gerichteten Cross-Site-Scripting-Angriff auf eine acht Monate früher geflickte Lücke im Blogsystem WordPress zurückgeführt. Ein Blog in Yahoos Developer Network sei also mindestens für diesen Zeitraum nicht gepatcht worden.
Die Angreifer lockten die Yahoo-Anwender mit der üblichen Methode – nämlich einem manipulierten Link – auf eine eigene, für den Angriff präparierte Site. Unklar blieb aber zunächst, wie die Kriminellen an die von Yahoo genutzten Session-Cookies gelangt waren, mit denen sie anschließend die Yahoo-Session der Besucher kaperten.
Bitdefender zufolge war die Quelle dieser Cookies der Blog-Server von developer.yahoo.com. Der betreffende Fehler – eine Upload-Möglichkeit für Schadcode – war von Neal Poole und Nathan Partlan Anfang letzten Jahres gemeldet worden. WordPress behob ihn mit dem Update auf 3.2.2 im April 2012.
Über die Lücke waren die Angreifer in der Lage, sich Session-Cookies an ihre eigenen Sites com-im9.net und com-io4.net schicken zu lassen. Gegenüber den Opfern tarnten sie sich durch Subdomains, die eine Zugehörigkeit zu MSN vortäuschten, etwa www.msnbc.msn.com-im9.net. Wer den Fehler machte, auf einen solchen Link zu klicken, und gleichzeitig einen Reiter mit Yahoo Mail offen hatte, fiel dem Angriff zum Opfer: Über den fehlerhaften WordPress-Server gelangten die Kriminellen nun an die aktuelle Session-ID des Nutzers bei Yahoo und übernahmen dessen Konto.
Bitdefender zufolge scheint Yahoo seine WordPress-Installation inzwischen gepatcht zu haben. Ein Kommentar von ihm liegt bisher nicht vor.
Über den Angriff kommen die Anwender nicht an das Yahoo-Passwort des Nutzers und können es auch nicht ändern. Allerdings ist es ihnen möglich, damit verbundene weitere Konten anzugreifen – etwa bei Social-Media-Sites oder Onlineshops. Für solche Sites lässt sich auch das Passwort zurücksetzen, das dann ja an die Yahoo-Adresse geschickt wird.
[mit Material von Michael Lee, ZDNet.com]
Tipp: Sind Sie ein SEO-Experte? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.
