CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/02/2013

Cuentas de Yahoo! hackeadas por un ataque XSS

Yahoo Mail Una nueva campaña de ataques a través de mensajes de correo electrónico ha explotado una vulnerabilidad de la web de Yahoo! con la intención de robar cuentas de correo de sus usuarios y poner en marcha a ataques de spam.

El ataque se inició con el envío de correos basura, con el nombre del usuario en la línea de asunto y el mensaje "chequea esta página" con el enlace abreviado "bit.ly". Al pinchar en el link, se iba a una web enmascarada de noticias de MSNBC que contenía un artículo sobre cómo hacer dinero trabajando desde casa, según los expertos de Bitdefender.

En un primer vistazo, no parece diferente a otros señuelos utilizados anteriormente. Sin embargo, más en profundidad, puede detectarse un código Javascript que aprovecha un fallo de código (XSS) en el sitio web de la red de desarrolladores de Yahoo! (YDN) para robar la cookie de sesión del visitante.

Estas cookies son las únicas líneas de texto de los navegadores internos de la web que guarda los datos de registro de los usuarios, hasta que se dan de baja. Los navegadores Web utilizan un mecanismo de seguridad que sigue la política de "mismo origen" para prevenir que las webs sean abiertas en diferentes pestañas y acceder a los recursos.

Esta política suele estar reforzada por el dominio. Por ejemplo, google.com no puede acceder a las cookies de sesión de yahoo.com, incluso aunque el usuario esté registrado en ambas webs al mismo tiempo y en el mismo browser. Sin embargo, dependiendo de la configuración de estas cookies, los subdominios pueden acceder a algunas sesiones mediante dominios del mismo usuario.

Este parece ser el caso de Yahoo! ahora, ya que el usuario sigue registrado independientemente del subdominio de Yahoo! que visite, incluyendo "developer.yahoo.com".

Más información en PC World.

Fuente: CCN-CERT

CSIRT-CV