Autor
Los foros de hacking clandestinos están inundados con todo tipo de fallos de día cero, muchos de los cuales pueden utilizarse para atacar millones de usuarios habituales de Internet. Un ejemplo perfecto es la vulnerabilidad de día cero de Yahoo! Mail identificada por el periodista e investigador de seguridad Brian Krebs.
Por Eduard Kovacs · Traducido por Ancuta Rotaru
Según Krebs, los detalles de la vulnerabilidad son vendidos por un hacker egipcio por 700$ (550€). Al parecer, el ataque se basa en una vulnerabilidad persistente cross-site scripting (XSS) en yahoo.com.
Estos tipos de agujeros de seguridad implican generalmente ingeniería social – el atacante debe convencer a una víctima para hacer clic en un vínculo – pero en la mayoría de los casos eso no es un problema para los ciberdelincuentes.
Si el ataque tiene éxito, el hacker obtiene acceso a las cookies de la víctima e, implícitamente, a su cuenta.
En la mayoría de los casos, las cuentas de Yahoo comprometidas se utilizan para distribuir malware, convencer a los usuarios para enviar dinero y atraer a los internautas a otros sitios maliciosos.
El hacker que vende el exploit, llamado TheHell, afirma que el precio de una vulnerabilidad de seguridad es generalmente de 1.100$ (850€) a 1.500$ (1.170€). Sin embargo, también destaca el hecho de que él venderá los detalles sólo a "personas de confianza" para asegurarse de que el agujero de seguridad no sea parcheado pronto.
Krebs ha notificado a los representantes de Yahoo! sobre la existencia de la vulnerabilidad. Actualmente está tratando de encontrar la ubicación exacta de la falla.
El proceso de corrección es fácil, siempre que logren localizar la URL exacta.
Las vulnerabilidades XSS son muy comunes hoy en día porque muchos desarrolladores web no filtran correctamente las entradas de los usuarios. El problema es aún más grave con los fallos persistentes (almacenados) porque, como destaca el hacker egipcio, éstos no son bloqueados por los filtros XSS integrados en los navegadores web como Internet Explorer o Chrome.
A continuación , he incluido el vídeo de prueba de concepto publicado por el hacker (reproducido y publicado en YouTube por Brian Krebs):
http://www.youtube.com/watch?feature=player_embedded&v=iBXvebXo-F4
FUENTE : http://news.softpedia.es/Hacker-egipcio-vende-un-fallo-de-dia-cero-de-Yahoo-Mail-or-700-550-Video-309222.html
|
 |
Bienvenido(a), Visitante. Por favor Ingresar o Registrarse ¿Perdiste tu email de activación?. |
En línea
