Gli esperti di sicurezza hanno scoperto che la versione appena rilasciata di Yahoo Messenger e alcuni dei suoi predecessori, contengono una vulnerabilità che permette ad un aggressore di assumere lo status di un ignaro utente, sostituendolo con i suoi link malevoli. "La falla zero-day in Yahoo Messenger consente ad aggressori remoti di 'giocherellare' con il messaggio di stato di qualsiasi utente - che consente di diffondere malware", hanno rivelato Venerdì i ricercatori di sicurezza di Bitdefender. I client vulnerabili si trovano nella versione 11.x di Messenger, inclusa la versione 11.5.0.152 appena rilasciata. Yahoo Messenger è molto diffuso in quanto, rispetto ai programmi concorrenti, offre molteplici opzioni e funzionalità.
I ricercatori di Bitdefender sostengono che l'attacco inizia quando un criminale informatico invia un file pericoloso, che carica un iFrame, per l'utente. Manipolando il parametro $ InlineAction dell'applicazione di messaggistica istantanea (responsabile del modo in cui il modulo viene visualizzato dal Messenger per accettare o rifiutare il trasferimento), viene caricato l'iFrame e cambiato il messaggio di stato della vittima con un pezzo di testo o un collegamento. Questo iFrame viene inviato come un normale messaggio e proviene da un altro utente di Yahoo Instant Messenger, anche se l'utente non è nella lista dei contatti della vittima. Se è possibile ricevere messaggi dai contatti al di fuori della propria lista, si è vulnerabili al 100%.
Uno degli scenari possibili: se il file malevolo che è stato inviato riproduce un'immagine, Yahoo Messenger cercherà di mostrarla, eseguendo il carico utile e cambiando lo stato dell'utente. Gli effetti di questo attacco potrebbero essere devastanti per le persone nella lista dei contatti della vittima, ma d'altra parte, potrebbero essere di grande beneficio per l'attaccante. Le possibilità che un messaggio di stato progettato in modo intelligente possa essere cliccato dagli utenti trovati nella lista dei contatti di qualcuno sono piuttosto alti e un cybercrook può facilmente sfruttare questo a suo vantaggio. Lo stato dirottato potrebbe puntare a un sito Web che ospita un exploit che possono avere come target le note vulnerabilità nei componenti come Java o Flash. Addirittura un bug in formato PDF, per citarne solo alcuni.
Come studi recenti hanno mostrato, le persone non riescono ad aggiornarli quando dovrebbero e cyber criminali si affidano ancora con successo ai bug che non sono stati ancora fissati. Questa vulnerabilità di Yahoo Messenger può essere utilizzata anche in sistemi di pubblicità di affiliazione. Invece di lanciare false campagne di Facebook che puntano gli utenti a siti Web di sondaggi, i criminali informatici potrebbero benissimo prendere in consegna gli stati e gli effetti sarebbero simili. Ricordiamo che è possibile collegare il proprio account Facebook a Yahoo Messenger. Una cosa molto importante è che la vittima è totalmente inconsapevole che è stato preso il suo stato ed un fatto preoccupante è che l'attacco potrebbe provenire da qualsiasi utente YM, anche se non è nella lista dei contatti.
A questo punto è lecito chiedersi come come si potrebbero mitigare tali attacchi. Prima di tutto, presumendo che i vostri amici non sono hacker, è possibile attivare l'opzione dove Yahoo Messenger specifica che chiunque non sia nella vostra lista dei contatti venga ignorato. La seconda raccomandazione è di installare software di sicurezza affidabile che è aggiornato e pienamente operativo. Gli scanner HTTP implementati per lo più dai fornitori di soluzioni di sicurezza nei loro prodotti fanno un buon lavoro contro questi attacchi. Infine, Yahoo! è stata informata sulla questione e gli esperti di BitDefender hanno inviato un proof-of-concept code per il fix del problema. Ci auguriamo che Yahoo! rilasci al più presto un aggiornamento che assicurerà la protezione ai propri clienti.
Nessun commento:
Posta un commento