Vulnerabilitatea de la Yahoo, rezolvată acum, a permis hackerilor să acceseze orice cont de utilizator de e-mail


Yahoo a fixat o vulnerabilitate critică de tip cross-site scripting (XSS), ce a putut fi exploatată de către hackeri pentru a accesa orice e-mail privat al utilizatorilor de Yahoo Mail.

În cazul în care nu s-ar fi efectuat patch-urile necesare, vulnerabilitatea ar fi putut avea potențialul de a pune în fața riscurilor de compromitere aproximativ 300 de milioane de conturi de Yahoo Mail .

Defecțiunea de securitate a fost identificată de cercetătorul finlandez din domeniul vulnerabilităților, Jouko Pynnönen, de la compania de securitate Klikki Oy. Pynnönen are experiență în descoperirea vulnerabilităților XSS în software-ul de tip web-facing, dezvăluind în mod responsabil lacune de securitate întâmpinate la WordPress și Uber în trecut.

Defecțiunea, căreia i s-a efectuat patch-ul la sfârșitul lunii noiembrie după ce Pynnönen a relevat problema în mod responsabil echipei de securitate de la Yahoo, ar fi permis codurilor malițioase JavaScript să fie incorporate într-un e-mail special formatat.

Ce este îngrijorător este faptul că un astfel de atac ce exploatează vulnerabilitățile nu ar necesita nicio interacțiune din partea utilizatorului. Tot ce ar trebui să facă o victimă pentru a ajunge să fie aibă contul compromis este simpla vizualizare a unui e-mail, fără a fi nevoie de accesarea unui link sau de deschiderea vreunui atașament.

Codul malițios încorporat în textul e-mailului ar fi putut fi utilizat de către un atacator pentru a compromite un cont, pentru a schimba setările, pentru a redirecționa mesajele către un cont extern sau chiar pentru a răspândi un virus prin intermediul Yahoo Mail.

Pentru eforturile sale, Pynnönen a fost recompensat pentru identificarea bug-ului cu suma de 10.000 de dolari,  în cadrul programului de recompense oferit de Yahoo .

Nu este primul caz în care Pynnönen a câștigat un premiu semnificativ pentru raportarea vulnerabilităților critice de securitate din sistemul de mail de la Yahoo. Acum un an, Pynnönen a transmis echipei de la Yahoo descoperirile în ceea ce privește o vulnerabilitate distinctă, dar totuși asemănătoare de tip XSS, ce ar fi permis atacatorilor să introducă scriptul malițios în cadrul corpului mesajelor transmise prin e-mail.

Doar prin vizionarea mesajului respectiv de catre utilizator ar fi fost de ajuns să se declanșeze codul malițios – presupunând astfel că destinatarul nu trebuia să fi păcălit să acceseze niciun link sau să deschidă atașamente din e-mail. Scriptul malițios ar fi putut fi utilizat pentru a compromite contul – prin schimbarea setărilor, respectiv prin redirecționarea sau trimiterea de e-mailuri fără consimțământul utilizatorului.

Pynnönen a oferit echipei de securitate de la Yahoo un e-mail special programat drept dovadă, care ar fi redirecționat mesajele primite ale victimei către un site web terț și un virus care ar fi putut infecta contul și care putea fi atașat oricărui e-mail trimis de pe contul de Yahoo Mail.

Este ușor de imaginat cum un astfel de atac ar putea fi răspândit foarte repede, fiind deosebit de atractiv pentru infractorii din mediul online.

Din fericire, acestei vulnerabilității i s-a efectuat un patch în ianuarie 2016.

GRAHAM CLULEY

CORESPONDENT INDEPENDENT

 

oana December 13, 2016

Lasa un comentariu