dodany: 27.11.2012 | tagi: , , ,

Autor:

Okazyjna cena exploita kont pocztowych Yahoo

0

Komu, komu, bo idę do domu! Macie wolne 700$? Można za tę sumę nabyć drogą kupna exploit, który porywa konta pocztowe Yahoo.  exploit pozwala na użycie luki cross-site scripting (XSS) do kradzieży ciasteczek i przejęcia danego konta mailowego.

Sprzedawcą jest haker o wdzięcznej nazwie TheHell. Oczywiście nikt nie wyda 700$ nie wiedząc czy exploit działa. Nikt nie kupuje kota w worku. TheHell zamieścił wideo pokazujące działanie exploita na ekskluzywnym podziemnym rynku cyberprzestępczości – Darknode.

Wideo reprodukował i zamieścił na YouTube bloger Brian Krebs. Widać na nim jak uzyskać dostęp do konta ofiary.

Po pierwsze atakujący musi zwabić ofiary do kliknięcia w spreparowany, złośliwy adres URL. W momencie otworzenia linku logger rejestruje ciasteczka. Ofiara jest przekierowana z powrotem na stronę poczty Yahoo. Atakujący może od tej chwili przekierowywać sesje przeglądania ofiary do woli. Logger zastępuje ciasteczka, które ukradł i pozwala atakującemu na zalogowanie do przejętego konta e-mail.

Haker obiecuje, że exploit działa na wszystkich przeglądarkach i nie wymaga omijania filtrów XSS na IE czy Chrome. Dodatkowo zachwala swój produkt niską ceną, w porównaniu do innych, podobnych exploitów, które można kupić za ponad 1000$.

BlogerKrebs ostrzegł Yahoo. Luka jest podobno łatwa do załatania, ale najpierw trzeba ją znaleźć. Dyrektor Bezpieczeństwa w Yahoo Ramses Martinez powiedział, że większość błędów XSS jest korygowana przez proste zmiany w kodzie. Całość ma zająć kilka godzin.

Dla end-userów to kolejne ostrzeżenie przeciw ślepemu klikaniu w linki, przed wcześniejszym upewnieniem się co do jego źródła.

Redaktor działu aktualności WebSecurity.pl. Z zamiłowania i wykształcenia pedagog. Propagatorka łączenia wolnego i otwartego oprogramowania i edukacji. Miłośniczka kawy, czekolady i książek psychologicznych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *