Yahoo! Ataque de inyección de mensajero

7

Hace solo cinco minutos tuve un ataque de inyección a través de Yahoo! Mensajero. El único efecto visible fue el cambio de mi mensaje de estado. También recibí un mensaje de diálogo que dice que una secuencia de comandos no puede continuar ejecutándose porque la cadena no se terminó, o algo así; cuando busqué el script en la ruta especificada no lo encontré.

Cómo se ejecutó el ataque: apareció una ventana de conversación con alguien que no conocía; mostraba un cuadro distorsionado, el tipo que aparece cuando la otra persona le está enviando un archivo (solo que no había ningún archivo para guardar). (El cuadro estaba distorsionado como si el cliente tuviera problemas para representarlo).

Intenté guardar la conversación (para ver el texto que se envió), pero estaba vacía. No he reiniciado mi computadora. ¿Alguna posibilidad de que pudiera ver lo que me enviaron?

Actualizar

Busqué la identificación a través de la cual vino el ataque y descubrí que está afiliada a un sitio que tiene una forma pública para cambiar el mensaje de estado de cualquier persona: todo lo que tiene que hacer es poner su identificación, el mensaje de estado y usted hecho. (No creo que deba mencionar qué sitio es).

Usé el formulario para enviar ataques a mí mismo para poder capturarlos con un analizador de red. El exploit fue enviado a través de una solicitud de transferencia de archivos con formato incorrecto. También envié un FTR normal para comparar y ver qué hay de diferente en el exploit. Entre otros, un FTR contiene la siguiente información:

(a) nombre del archivo que se envía

(b) tamaño en bytes
(c) hash probablemente se usa para verificar si la transferencia se realizó correctamente

El exploit no tenía nombre de archivo, y presumiblemente el tamaño del archivo es de 4128 bytes (pero no hay ningún archivo que puedas descargar). El hash es algo más interesante. En un FTR normal, el hash se parece a cualquier otro (una cadena de caracteres); el exploit FTR tenía esto para un hash:

'<form><iframe onload=\"SetCustomStatus('mystatus');\"></iframe></form>

La función SetCustomStatus es del YM SDK . Esto parece ser todo, por lo que probablemente no se hizo ningún daño real. Sería interesante saber cómo consiguieron Yahoo! para enviar ese código JavaScript en lugar de un hash normal.

De todos modos, reportaré el sitio a Yahoo !. ( Editar: Excepto que no puedo encontrar dónde reportarlo ... > :()

    
pregunta Paul Manta 02.12.2011 - 21:08
fuente

1 respuesta

2

No sé si será posible guardar un registro de lo que se te envió, pero si fuera tú, no me preocuparía. Dejaría eso a la gente de seguridad para analizar los detalles de cómo fueron hackeados; Si fue elegido al azar para ser pirateado, lo más probable es que muchos otros también lo sean, por lo que las empresas de seguridad profesional tienen una buena posibilidad de observar el ataque en la naturaleza.

En su lugar, me concentraría en proteger tu máquina para que no vuelvas a piratearla, y asegurándote de eliminar cualquier acceso a tu máquina y a la cuenta de Yahoo que el hacker pueda haber obtenido. En particular, tomaría los siguientes pasos lo antes posible:

  • Cambie inmediatamente su Yahoo! La contraseña de Messenger a una contraseña temporal, idealmente desde otra computadora si es posible pero si no, desde su propia computadora. (Esto será solo una contraseña temporal, porque siempre existe la posibilidad de que su atacante haya infectado su copia de Yahoo! Messenger o haya infectado su máquina con un registrador de teclas. Intentaremos solucionarlo a continuación).
  • Desconecta tu computadora de la red. Reiniciar.
  • Ejecute un análisis de virus completo de su computadora (la mayoría tendrá la opción de realizar un análisis completo del disco duro a pedido). Solucione cualquier problema que informe.
  • Vuelva a conectar la conexión de red. Solicite a su software antivirus que actualice sus definiciones de antivirus. Ejecute otro análisis de virus completo. Esperemos que no encuentre ningún problema.
  • reiniciar. Ejecutar Windows Update. Actualiza todo el software que te permita actualizar. Mientras esté allí, active las actualizaciones automáticas, si por alguna razón aún no están habilitadas.
  • Compruebe si hay actualizaciones para Yahoo! Mensajero. Instala cualquier actualización.
  • Descargue e instale Secunia PSI . Ejecutarlo. Solucione cualquier problema de seguridad que informe (es decir, actualice cualquier software que diga que no esté actualizado).
  • Reinicie si es requerido por cualquiera de las actualizaciones de software anteriores.
  • Ahora cambia tu Yahoo! La contraseña de Messenger por segunda vez, esta vez a algo permanente y difícil de adivinar. Es posible que también desee cambiar las respuestas a cualquier pregunta de seguridad, por si acaso.
  • También, revisa tu cuenta de Yahoo! Perfil de cuenta y detalles con mucho cuidado. Asegúrese de que todas las direcciones de correo electrónico sean correctas (por ejemplo, que el atacante no haya reenviado su correo electrónico a otra cuenta). Asegúrese de que el atacante no se haya agregado a su lista de amigos ni nada por el estilo.
  • Si usaste tu Yahoo! La contraseña de Messenger en cualquier otro sitio o con cualquier otro software, cambie su contraseña para esos sitios / aplicaciones y haga lo mismo con ellos.

Si bien no hay garantías del 100%, si sigue esos pasos, espero que esté bien.

    
respondido por el D.W. 03.12.2011 - 07:54
fuente

Lea otras preguntas en las etiquetas