แฮกเกอร์ที่อยู่เบื้องหลังแคมเปญโจมตีทางอีเมลที่ตรวจพบเมื่อเร็ว ๆ นี้กำลังใช้ช่องโหว่ในเว็บไซต์ Yahoo เพื่อแย่งชิงบัญชีอีเมลของผู้ใช้ Yahoo และ ตามที่นักวิจัยด้านความปลอดภัยจาก Bitdefender ผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัสกล่าวว่า

ได้อย่างรวดเร็วก่อนหน้านี้ดูเหมือนว่าไม่ต่างกัน จากไซต์หลอกลวงจากที่ทำงานอื่น ๆ อย่างไรก็ตามในเบื้องหลังโค้ด JavaScript บางส่วนใช้ประโยชน์จากช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ (XSS) ในไซต์ Blog Yahoo Developer Network (YDN) เพื่อขโมยคุกกี้เซสชันของผู้เข้าชม Yahoo ของผู้เข้าชม

[อ่านเพิ่มเติม: How to ลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

วิธีการทำงาน

คุกกี้เซสชันเป็นสตริงที่เป็นเอกลักษณ์ของข้อความที่จัดเก็บโดยเว็บไซต์ภายในเบราว์เซอร์เพื่อที่จะจดจำผู้ใช้ที่ลงชื่อเข้าใช้ไว้จนกว่าจะออกจากระบบ เว็บเบราเซอร์ใช้กลไกด้านความปลอดภัยที่เรียกว่านโยบายต้นทางเดียวกันเพื่อป้องกันไม่ให้เว็บไซต์ที่เปิดอยู่ในแท็บต่างๆไม่สามารถเข้าถึงทรัพยากรของกันและกันได้เช่นคุกกี้เซสชัน

นโยบายโดเมนเดียวกันมักถูกบังคับใช้ในแต่ละโดเมน ตัวอย่างเช่น google.com ไม่สามารถเข้าถึงคุกกี้เซสชันสำหรับ yahoo.com แม้ว่าผู้ใช้อาจเข้าสู่ระบบทั้งสองเว็บไซต์ในเวลาเดียวกันในเบราเซอร์เดียวกัน อย่างไรก็ตามขึ้นอยู่กับการตั้งค่าคุกกี้โดเมนย่อยสามารถเข้าถึงคุกกี้เซสชันที่กำหนดโดยโดเมนหลัก

กรณีเช่นนี้กับ Yahoo ซึ่งผู้ใช้ยังคงเข้าสู่ระบบโดยไม่คำนึงถึงโดเมนย่อยของ Yahoo ที่เข้าเยี่ยมชมรวมถึง developer.yahoo com

โค้ด JavaScript หลอกลวงที่โหลดจากเว็บไซต์ MSNBC ปลอมจะบังคับให้เบราว์เซอร์ของผู้เข้าชมเรียก developer.yahoo.com ด้วย URL ที่สร้างขึ้นมาโดยเฉพาะซึ่งใช้ช่องโหว่ XSS และรันโค้ด JavaScript เพิ่มเติมในบริบทของ developer.yahoo com

รหัส JavaScript เพิ่มเติมนี้อ่านคุกกี้เซสชันของผู้ใช้ Yahoo และอัปโหลดไปยังเว็บไซต์ที่ถูกควบคุมโดยผู้บุกรุก คุกกี้จะถูกใช้เพื่อเข้าถึงบัญชีอีเมลของผู้ใช้และส่งอีเมลขยะไปยังผู้ติดต่อทั้งหมดของพวกเขา ในความหมายนี้เป็นหนอนอีเมลที่ขับเคลื่อนโดย XSS และมีการเผยแพร่ด้วยตนเอง

ช่องโหว่ XSS ที่ใช้ประโยชน์อยู่ในคอมโพเนนต์ WordPress ที่เรียกว่า SWFUpload และได้รับการติดตั้งใน WordPress เวอร์ชัน 3.3.2 ที่เผยแพร่ในเดือนเมษายน 2012 นักวิจัยของ Bitdefender กล่าว อย่างไรก็ตามเว็บไซต์ YDN Blog ดูเหมือนจะใช้ WordPress รุ่นเก่า

วิธีหลีกเลี่ยงปัญหา

หลังจากค้นพบการโจมตีเมื่อวันพุธที่ผ่านมานักวิจัยของ Bitdefender ได้ค้นหาฐานข้อมูลสแปมของ บริษัท และพบข้อความที่คล้ายกันมาก Bogdan Botezatu, นักวิเคราะห์ด้าน e-threat อาวุโสของ Bitdefender กล่าวในวันพฤหัสบดีที่ผ่านทางอีเมล์ว่า "เป็นการยากที่จะประมาณอัตราความสำเร็จของการโจมตีดังกล่าวเนื่องจากไม่สามารถมองเห็นได้ในเครือข่ายเซ็นเซอร์" เขากล่าว กล่าว. "อย่างไรก็ตามเราคาดว่าประมาณหนึ่งเปอร์เซ็นต์ของสแปมที่เราได้ดำเนินการในเดือนที่ผ่านมาเกิดจากเหตุการณ์นี้"

Bitdefender รายงานช่องโหว่ของ Yahoo ในวันพุธที่ผ่านมา แต่ดูเหมือนว่าจะใช้ประโยชน์ได้ในวันพฤหัสบดีนี้ Botezatu กล่าว. "บัญชีทดสอบบางส่วนของเรายังคงส่งสแปมเฉพาะประเภทนี้" เขากล่าว

ในแถลงการณ์ที่ส่งมาในวันพฤหัสบดีที่ผ่านมา Yahoo กล่าวว่าช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว

"Yahoo จะรักษาความปลอดภัยและข้อมูลของผู้ใช้ของเรา อย่างจริงจัง "ตัวแทน Yahoo กล่าวผ่านทางอีเมล์ "เมื่อเร็ว ๆ นี้เราได้เรียนรู้เกี่ยวกับช่องโหว่จาก บริษัท รักษาความปลอดภัยภายนอกและยืนยันว่าเราได้แก้ไขช่องโหว่นี้แล้วเราขอแนะนำให้ผู้ใช้ที่เกี่ยวข้องสามารถเปลี่ยนรหัสผ่านของตนเป็นรหัสผ่านที่มีความแข็งแกร่งซึ่งประกอบด้วยตัวอักษรตัวเลขและสัญลักษณ์และเพื่อให้สามารถเข้าสู่ระบบครั้งที่สองได้ การตั้งค่าบัญชีของพวกเขา "

Botezatu แนะนำให้ผู้ใช้หลีกเลี่ยงการคลิกลิงก์ที่ได้รับผ่านทางอีเมลโดยเฉพาะอย่างยิ่งหากพวกเขาถูกตัดให้สั้นลงด้วย bit.ly การกำหนดว่าลิงก์จะเป็นอันตรายก่อนที่จะเปิดการโจมตีได้ยากหรือไม่เช่นนี้เขากล่าวว่า

ในกรณีนี้ข้อความมาจากผู้ใช้ที่รู้จัก - ผู้ส่งอยู่ในรายชื่อผู้ติดต่อและไซต์ที่เป็นอันตราย ถูกสร้างขึ้นมาเพื่อให้มีลักษณะเหมือนพอร์ทัล MSNBC ที่น่าเชื่อถือเขากล่าว "เป็นการโจมตีที่เราคาดหวังว่าจะประสบความสำเร็จอย่างมาก"

Botezatu แนะนำให้ผู้ใช้หลีกเลี่ยงการคลิกที่ลิงก์ที่ได้รับผ่านทางอีเมลโดยเฉพาะอย่างยิ่งหากมีการย่อด้วย bit.ly การกำหนดว่าลิงก์จะเป็นอันตรายหรือไม่ก่อนที่จะเปิดการโจมตีได้เช่นนี้เขากล่าวว่า

ในกรณีนี้ข้อความมาจากผู้ใช้ที่รู้ว่าผู้ติดต่ออยู่ในรายชื่อผู้ติดต่อของตนและไซต์ที่เป็นอันตรายนั้นดี ได้รับการออกแบบให้ดูคล้ายพอร์ทัล MSNBC ที่น่ายกย่องเขากล่าว "มันเป็นประเภทของการโจมตีที่เราคาดหวังว่าจะประสบความสำเร็จอย่างสูง"

Updated 1/31/2013 กับความคิดเห็นของ Yahoo