How to Create a Yahoo Mail Filter
Mục lục:
- Chính sách cùng nguồn gốc thường được thực thi cho mỗi miền. Ví dụ: google.com không thể truy cập cookie phiên cho yahoo.com mặc dù người dùng có thể đăng nhập vào cả hai trang web cùng một lúc trong cùng một trình duyệt. Tuy nhiên, tùy thuộc vào cài đặt cookie, tên miền phụ có thể truy cập cookie phiên do miền mẹ của họ đặt.
- Bitdefender đã báo cáo lỗ hổng cho Yahoo hôm thứ Tư, nhưng nó vẫn có vẻ bị khai thác vào thứ năm, Botezatu nói . "Một số tài khoản thử nghiệm của chúng tôi vẫn đang gửi loại thư rác cụ thể này", ông nói.
Cuộc tấn công bắt đầu với người dùng nhận email spam với tên của họ trong dòng chủ đề và một thông báo ngắn "kiểm tra trang này". liên kết. Việc nhấp vào liên kết đưa người dùng đến trang web giả mạo là trang tin tức của MSNBC có chứa một bài viết về cách kiếm tiền trong khi làm việc tại nhà, các nhà nghiên cứu Bitdefender cho biết hôm thứ Tư trong một bài đăng trên blog. từ các trang web lừa đảo công việc khác. Tuy nhiên, trong nền, một đoạn mã JavaScript khai thác lỗ hổng cross-site scripting (XSS) trong trang Blog của Nhà phát triển Yahoo (YDN) Blog để ăn cắp cookie phiên của Yahoo của khách truy cập.
[Đọc thêm: Cách thực hiện loại bỏ phần mềm độc hại khỏi PC Windows của bạn]
Cách hoạt động
Cookie phiên là chuỗi văn bản duy nhất được lưu trữ bởi các trang web bên trong trình duyệt để ghi nhớ người dùng đã đăng nhập cho đến khi họ đăng xuất. Trình duyệt web sử dụng cơ chế bảo mật được gọi là chính sách có cùng nguồn gốc để ngăn các trang web được mở trong các tab khác nhau truy cập tài nguyên của nhau, như cookie phiên.Chính sách cùng nguồn gốc thường được thực thi cho mỗi miền. Ví dụ: google.com không thể truy cập cookie phiên cho yahoo.com mặc dù người dùng có thể đăng nhập vào cả hai trang web cùng một lúc trong cùng một trình duyệt. Tuy nhiên, tùy thuộc vào cài đặt cookie, tên miền phụ có thể truy cập cookie phiên do miền mẹ của họ đặt.
Trường hợp này vẫn xảy ra với Yahoo, nơi người dùng vẫn đăng nhập bất kể tên miền phụ Yahoo họ truy cập, bao gồm developer.yahoo. com.
Mã JavaScript giả mạo được tải từ trang web MSNBC giả mạo buộc trình duyệt của khách truy cập gọi đến developer.yahoo.com với một URL được tạo thủ công cụ thể khai thác lỗ hổng XSS và thực thi mã JavaScript bổ sung trong ngữ cảnh của developer.yahoo. com subdomain.
Mã JavaScript bổ sung này đọc cookie phiên của người dùng Yahoo và tải nó lên một trang web được kiểm soát bởi những kẻ tấn công. Cookie sau đó được sử dụng để truy cập tài khoản email của người dùng và gửi email spam đến tất cả các địa chỉ liên hệ của họ. Trong một nghĩa nào đó, đây là một con sâu email tự xưng, XSS.
Lỗ hổng XSS được khai thác thực sự nằm trong một thành phần WordPress có tên là SWFUpload và được vá trong phiên bản WordPress 3.3.2 đã được phát hành vào tháng 4 năm 2012, Các nhà nghiên cứu của Bitdefender cho biết. Tuy nhiên, trang blog của YDN dường như đang sử dụng phiên bản WordPress lỗi thời.
Sau khi phát hiện cuộc tấn công vào thứ Tư, các nhà nghiên cứu Bitdefender đã tìm kiếm cơ sở dữ liệu spam của công ty và tìm thấy những thông điệp rất giống nhau. Tháng trước, Bogdan Botezatu, một nhà phân tích về mối đe dọa điện tử cao cấp tại Bitdefender, thứ năm qua email.
"Thật khó để ước tính tỷ lệ thành công của cuộc tấn công như vậy vì nó không thể thấy trong mạng cảm biến" nói. "Tuy nhiên, chúng tôi ước tính khoảng một phần trăm thư rác mà chúng tôi đã xử lý trong tháng vừa qua là do sự cố này."
Bitdefender đã báo cáo lỗ hổng cho Yahoo hôm thứ Tư, nhưng nó vẫn có vẻ bị khai thác vào thứ năm, Botezatu nói. "Một số tài khoản thử nghiệm của chúng tôi vẫn đang gửi loại thư rác cụ thể này", ông nói.
Trong một tuyên bố gửi vào thứ năm, Yahoo cho biết họ đã vá lỗ hổng.
"Yahoo đảm bảo an ninh và dữ liệu người dùng của chúng tôi nghiêm túc, "một đại diện của Yahoo nói qua email. "Gần đây chúng tôi đã biết về lỗ hổng bảo mật từ một công ty bảo mật bên ngoài và xác nhận rằng chúng tôi đã sửa lỗ hổng bảo mật. Chúng tôi khuyến khích người dùng liên quan thay đổi mật khẩu của họ thành mật khẩu mạnh kết hợp chữ cái, số và ký hiệu; cài đặt tài khoản của họ. "
Botezatu khuyên người dùng tránh nhấp vào các liên kết nhận được qua email, đặc biệt nếu họ được rút ngắn bằng bit.ly. Xác định xem một liên kết có độc hại hay không trước khi mở nó có thể khó khăn với các cuộc tấn công như thế này, anh ta nói.
Trong trường hợp này, các tin nhắn đến từ những người dùng mà người dùng biết - người gửi nằm trong danh sách liên lạc của họ - và trang web độc hại được chế tạo tốt để trông giống như cổng thông tin MSNBC đáng kính, ông nói. "Đó là một loại tấn công mà chúng tôi mong đợi sẽ thành công cao."
Botezatu khuyên người dùng tránh nhấp vào các liên kết nhận được qua email, đặc biệt nếu họ bị rút ngắn bằng bit.ly. Xác định xem một liên kết có độc hại hay không trước khi mở nó có thể khó khăn với các cuộc tấn công như thế này.
Trong trường hợp này, các tin nhắn đến từ những người mà người dùng biết - người gửi nằm trong danh sách liên lạc của họ và trang web độc hại được chế tạo giống như cổng MSNBC đáng kính, ông nói. "Đây là một loại tấn công mà chúng tôi mong đợi sẽ thành công cao."
Cập nhật ngày 31/01/2013 với Yahoo bình luận
Một ngày sau khi một công ty an ninh vô tình đưa ra các chi tiết của một lỗ hổng nghiêm trọng trong hệ thống DNS (Domain Name System), các hacker nói rằng phần mềm khai thác lỗ hổng này chắc chắn sẽ xuất hiện sớm. Dave Aitel, giám đốc công nghệ của hãng Immunity, cho biết hãng đang phát triển mã tấn công cho lỗi, và sẽ có nhiều khả năng sẽ xuất hiện trong vài ngày tới. Công ty của ông ta cuối cùng cũng sẽ phát triển mã mẫu cho phần mềm thử nghiệm Canvas của mình, một nhiệm vụ mà ông ta mong đợi
Tác giả của một công cụ hacker được sử dụng rộng rãi cho biết ông hy vọng sẽ bị khai thác vào cuối ngày thứ ba. Trong một cuộc phỏng vấn qua điện thoại, HD Moore, tác giả của phần mềm thử nghiệm xâm nhập Metasploit, đã đồng ý với Aitel rằng mã tấn công sẽ không khó để viết.
Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang
Cho đến nay, Microsoft cho biết họ đã nhận được các báo cáo về "một số lượng nhỏ các cuộc tấn công nhắm mục tiêu" bằng cách sử dụng khai thác này. Các nhà sản xuất phần mềm đang làm việc trên một bản vá bảo mật cho vấn đề, nhưng công ty vẫn chưa nói liệu nó sẽ phát hành một bản cập nhật bảo mật càng sớm càng tốt hoặc là một phần của chu kỳ cập nhật “patch Tuesday” hàng tháng của họ. "Bản vá thứ ba" tiếp theo sẽ là ngày 9 tháng 10.
Không rõ ràng nếu khai thác này nhắm vào một lỗ hổng mới hay một lỗ hổng Java cũ hơn đã được vá. Oracle đã phát hành các bản cập nhật bảo mật Java mới vào thứ hai để giải quyết hai lỗ hổng nghiêm trọng, một trong số đó đã được khai thác bởi những kẻ tấn công.
Các khai thác Java theo truyền thống được phân phối dưới dạng các ứng dụng Java ứng dụng chưa được ký. Việc thực hiện các applet như vậy được sử dụng để tự động trong các phiên bản Java cũ hơn, cho phép tin tặc khởi động các cuộc tấn công tải xuống bằng ổ đĩa hoàn toàn minh bạch cho nạn nhân.