Yahoo Mail-Schwachstelle, die zu E-Mails ohne Betreff und einem einzigen Link führt

4756
tomlogic

In letzter Zeit erhielt ich zufällige E-Mails von Freunden mit Yahoo Mail (oder sbcglobal.net, die Yahoo Mail verwenden) ohne Betreff und eine zufällige URL, auf die ich nicht klicken werde.

Zuerst dachte ich, dass jemand sein Passwort gefunden hatte, und ich empfahl, dass er die Passwörter aktualisiert.

Ich habe gerade eine E-Mail von jemandem erhalten, der letzte Woche sein Passwort geändert hat.

Handelt es sich dabei um eine Art Cross-Site-Scripting-Schwachstelle? Gibt es eine Möglichkeit, herauszufinden, ob Sie nur Empfänger einer der Nachrichten sind?

Hier sind einige der Header einer aktuellen Mail:

Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT X-Mailer: YahooMailWebService/0.8.118.349524 Message-ID: <1340814210.6602.YahooMailNeo@web83806.mail.sp1.yahoo.com> Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT)

Die IP-Adresse auf der schwarzen Liste im empfangenen Header stammte aus einer dynamischen IP in Norwegen.

Ich gehe also davon aus, dass die Maschine bei dieser IP-Adresse das Yahoo Mail-Cookie meines Freundes erhalten und verwenden konnte, um E-Mails an Personen in ihrem Adressbuch zu senden. Klingt das genau? Selbst wenn jemand eine HTTPS-Verbindung zu Yahoo Mail verwendet hat, kann eine speziell gestaltete E-Mail das Cookie möglicherweise extrahieren und über einen RPCXML-Anruf an eine andere Stelle liefern, oder?

Wie sichern Sie sich also ein Yahoo Mail-Konto vor einem solchen Angriff?

UPDATE: Ich habe jetzt E-Mails von vier verschiedenen Leuten erhalten. Es ist offensichtlich kein Einzelfall, und die Benutzer von Yahoo Mail können sicherlich etwas dagegen tun, um sich selbst zu schützen.

1
Passen Sie auf, wo Sie Ihr Passwort eingeben. cutrightjm vor 12 Jahren 0
@ekaj: Immer, aber in diesem Fall denke ich, dass es eher ein Session-Hijacking-Angriff ist. Der Benutzer öffnet eine E-Mail, die eine Sicherheitsanfälligkeit in Yahoo Mail verwendet, um das Sitzungs-Cookie abzurufen und E-Mails ohne deren Wissen zu senden. tomlogic vor 12 Jahren 0
[http://help.yahoo.com/l/us/yahoo/abuse/reportabuse/security-05.html((http://help.yahoo.com/l/us/yahoo/abuse/reportabuse/security- 05.html "Ich möchte eine Sicherheitslücke melden | Yahoo! Hilfe zum Missbrauch") bwDraco vor 12 Jahren 0
Ich habe es auch bei Hotmail-Konten gesehen. Wenn ich das Passwort eines gehackten Kontos kenne, gehe ich mit den langsamen Brute-Force-Versuchen, die von ox45tallboy erwähnt wurden. In diesem Fall hat das Ändern des Passworts (bis jetzt) ​​für diese Person funktioniert. vor 12 Jahren 0

3 Antworten auf die Frage

1
ox45tallboy

@tomlogic: Ich frage mich, ob dies aus dem "Always-login-on" Teil der Yahoo Toolbar kommt. Es ist nicht schwierig, die https-Verbindung, die von einem Yahoo-Server kommt, durch das Scripting der Seite zu fälschen und die Benutzer-ID grundsätzlich in einem sicheren Format anzufordern (obwohl Sie darauf hingewiesen haben, dass es genauso einfach ein Session-Cookie sein könnte.) da die Yahoo-Sitzungen jetzt praktisch unbegrenzt sind), damit die Seite anhand des gespeicherten Profils wissen kann, welche Anzeige geschaltet werden soll.

Ich weiß nicht, dass dies tatsächlich der Fall ist, aber so würde ich es tun - Sie müssen beim Aktivieren von Yahoo Mail (und einigen anderen "kostenlosen" Apps) eine ganze Reihe von Kontrollkästchen deaktivieren, um sich davon fern zu halten Durch das Installieren dieser freaking-Symbolleiste, die absolut nichts anderes bietet, als ein Yahoo-Suchfeld (wer verwendet das mehr?) und eine neue E-Mail-Benachrichtigung -, wird jedoch auch jede einzelne Website, die Sie besuchen, und alles, was Sie eingeben, in einem unverschlüsselten Webformular gespeichert.

Ich habe den 5 verschiedenen Personen, die mir eine dieser E-Mails mit dem Betreff "Kein Betreff mit Link zur Phishing-Site" gesendet haben, gesendet, dass sie ihr Kennwort von einem anderen Computer oder von einem Smartphone aus ändern und dann ein Antivirus-Programm ausführen sollen Sie können auch ein Anti-Spyware-Programm wie MalwareBytes oder SpyBot verwenden, bevor Sie sich auf ihrem eigenen Computer wieder bei Yahoo anmelden. Außerdem entfernen Sie die Yahoo Toolbar und die zugehörigen Yahoo-Apps. Welchen Mehrwert bieten sie ohnehin?

Ich neige zu Session-Hijacking, da dies scheinbar selten vorkommt. Ich würde denken, wenn jemand seine E-Mail-Adresse erhalten hätte, würde er sie weiterhin zu Spam-Zwecken verwenden. Das und die Tatsache, dass ich Leuten gesagt habe, dass sie ihre Passwörter ändern müssen, und ihre Konten senden immer noch diesen zufälligen Spam aus. Ich denke, ohne dass sich einer von ihnen freiwillig für eine Wireshark-Installation und ständige Datenprotokollierung einsetzt, gibt es keine einfache Möglichkeit, dies mit Sicherheit zu erfahren. Ich hätte gedacht, dass Yahoo das aufgegriffen hätte und jetzt die Ursache ausfindig machen würde. tomlogic vor 12 Jahren 0
Ja, das sehe ich allerdings - genau das gleiche, das von denselben Benutzern stammt - eine leere Betreffzeile mit einem einfachen Link zu einer Phishing-Site. Zwei Benutzer, die ihre E-Mails selten abfragen, haben mir mehrere gesendet, im Durchschnitt etwa einen pro Tag, während die anderen das Problem behoben haben, sobald sie ihre Passwörter geändert haben. ox45tallboy vor 12 Jahren 0
Ich sage nicht, dass ich hier bin, aber es scheint, dass das Ändern Ihres Passworts das Problem löst - was mich zu der Überzeugung führt, dass entweder die Passwörter durch langsame Brute-Force-Versuche im Verlauf einiger weniger oder rissig waren Wochen (versuchen Sie nur wenige Stunden pro Stunde, um eine Sperrung zu verhindern, aber wenn sich 1.000.000 Konten schnell zu Ergebnissen führen) oder der Computer wurde dazu verleitet, ihre Yahoo-Anmeldungen in einem unverschlüsselten Format zu senden, oder, wie Sie sagten, es ist ein Session-Hijack von einer Site Der Benutzer ist häufig unterwegs. ox45tallboy vor 12 Jahren 0
1
Rampazzo

Ist auch mit meinem Yahoo-Konto passiert. Die Infektion ergab sich aus einer E-Mail, die auf einen Web-Link verweist, auf den ich versehentlich von meinem Blackberry geklickt habe . Ich musste das Passwort ändern, die Blackberry-Verbindung zur Yahoo-E-Mail löschen und meine Yahoo-Kontaktliste löschen, um auf der sicheren Seite zu sein. Sie haben sich beim Yahoo-Kundensupport gemeldet, sie haben jedoch nur Standardantworten gegeben. Ich hatte die Yahoo Toolbar nicht installiert. Ich vermute stark, dass der Angreifer einige Schwächen in der Infrastruktur der Yahoo-Konten ausnutzt, möglicherweise im Zusammenhang mit dem Yahoo-BIS-Connector für Blackberry. Dies scheint weder ein Passwort-Cracking-Versuch noch ein Session-Hijacking zu sein.

0
shyammakwana.me

Es ist kein Cross Site Scripting.

Möglicherweise ist Ihr Freund ein Opfer von Phishingoder infected by spywareauf seinem PC. Es gibt viele Arten von Spyware in Internet SEA, die Benutzerpasswörter, Kreditkartendaten, Cookies usw. stehlen.

Diese Art von Autobots installiert sich im Browser als Addon oder Erweiterung und lädt und verschickt oder versendet Spam.

Um sicher zu sein, aktualisieren Sie Ihren Browser regelmäßig und verwenden Sie gute Spyware (Spybot Search and Destroy).

Leider ist es unmöglich nachzuweisen, dass ein Dienst keine Sicherheitslücke aufweist. Sie können nur sicher sein, dass Sie noch nichts davon wissen. gronostaj vor 11 Jahren 0
Ich weiß das, aber es gibt weniger Möglichkeiten, eine Schwachstelle in Yahoo Mail zu haben, als Spybot auf dem System der Benutzer. shyammakwana.me vor 11 Jahren 0

Verwandte Probleme