¿Cómo funciona el exploit de Yahoo webmail?

La página de MSNBC falsa probablemente contenía una falsificación de solicitudes entre sitios (CSRF) ataque en el webmail de Yahoo.

Estos ataques explotan las funciones de las aplicaciones web que no comprueban la identidad del usuario de manera adecuada, pero confían ciegamente en las cookies de sesión. Por lo tanto, si inició sesión en el correo de Yahoo en el momento del ataque, la aplicación web no tenía forma de saber si sus solicitudes eran legítimas o no, ya que su navegador envía automáticamente las cookies adecuadas a Yahoo.

No estás notando nada extraño en los registros de actividad de Yahoo porque el navegador que realmente envió esos correos electrónicos es tuyo y el atacante nunca obtuvo el control total de tu cuenta (solo las funciones vulnerables).

  

Tengo una solución antivirus / firewall que se actualiza continuamente. Tengo un enrutador inalámbrico con una configuración de seguridad bastante fuerte (sin usar los valores predeterminados ni nada), con contraseña inalámbrica (fuerza media), filtrado de MAC y cifrado WPA-WPA2.

Si bien estas soluciones de seguridad están bien, no lo protegerán de CSRF (o ataques similares basados en la web). El mejor mecanismo de defensa en este caso es usar un complemento de bloqueo de secuencia de comandos (por ejemplo, NoScript) y solo permite que los dominios de confianza ejecuten código.

Mi sugerencia final es siempre cerrar sesión en las aplicaciones web críticas (por ejemplo, banca doméstica) después del uso para minimizar las posibilidades de obtener CSRFed y reportar el enlace malicioso a Yahoo, con la esperanza de que solucionen las vulnerabilidades.

enlace

  

El JavaScript explota un antiguo agujero de seguridad del blog de WordPress en developer.yahoo.com para levantar la cookie mail.yahoo.com del usuario. Utilizando esta información recopilada, los delincuentes pueden hacerse pasar por la víctima para enviar correo no deseado o pellizcar las direcciones de correo electrónico de los contactos.

enlace

  

La vulnerabilidad que WordPress parchó en abril pasado se conoció como un error de scripting entre sitios reflejado ...

Aunque no se debe a errores de navegador en sí mismos, este tipo de ataque a veces puede ser detectado y prevenido por heurísticas en el navegador. P.ej. NoScript en Firefox (incluso con javascript habilitado para todos los sitios). Sé que IE y Chrome también tienen filtros para xss reflejados. La efectividad puede variar entre diferentes implementaciones de filtros.

  

... Si los investigadores de Bitdefender están en lo cierto al decir que la campaña dirigida a las cuentas de Yahoo comenzó hace aproximadamente un mes, y que el truco funcionó porque los administradores no aplicaron un parche lanzado hace más de ocho meses, este es un grave error. La parte de los administradores de Yahoo. Agregue a eso que Yahoo no advirtió a sus usuarios una vez que los ataques se hicieron públicos y que el departamento de relaciones públicas no respondió a mis preguntas por correo electrónico y es aún más difícil justificar lo que sucedió aquí. Además, un informe publicado el martes por la empresa de seguridad Imperva detalla un ataque de inyección de SQL por separado que el mes pasado les dio a los piratas informáticos el control sobre los servidores de Yahoo, lo que sugiere que tales problemas son sistémicos.

     

Dadas las enormes tensiones financieras y competitivas a las que se enfrenta la empresa, un cambio de imagen no parece probable en el corto plazo. Es por eso que sugerí a mi vecino cambiar a Gmail. El servicio de Google no es en absoluto perfecto, pero ha sido el líder indiscutible en la seguridad del correo web. Fue el primero en ofrecer una protección HTTPS siempre activa que encripta las sesiones de correo de principio a fin, y emplea a expertos en seguridad de clase mundial.