Luka bezpieczeństwa w poczcie Hotmail

Kilka dni temu odkryto atak internetowy skierowany w wiadomości pocztowe wysyłane za pomocą serwisów webmailowych. Po dokładniejszym zbadaniu sprawy możemy powiedzieć, że ataki wykorzystywały luki w Hotmailu. Specjaliści z firmy Trend Micro ujawnili, że złośliwy skrypt przekazywany za pomocą emaili to HTML_AGENT.SMJ.

Luka bezpieczeństwa w poczcie Hotmail
SKOMENTUJ

Wspomniany atak wymaga od użytkownika jedynie otwarcia specjalnie przygotowanego emaila - później automatycznie uruchomi się złośliwy kod. Prowadzi to bezpośrednio do kradzieży kluczowych informacji, zwłaszcza naszych emaili i danych z książki adresowej użytkownika. Skradzione emaile mogą zawierać poufne informacje, które cyberprzestępcy mogą wykorzystać na różne sposoby.

Złośliwy skrypt łączy się z adresem: http://www.{BLOCKED}eofpublic.com/Microsoft.MSN.hotmail/mail/rdm/rdm.asp?a= {nazwa konta użytkownika}{numer} aby pobrać kolejną porcję złośliwego skryptu.

Charakter wspomnianego adresu URL wyraźnie sugeruje, że atak jest kierowany. Adres zawiera dwie zmienne - nazwę konta użytkownika, która jest loginem Hotmail, oraz numer, będący predefiniowaną liczbą ustaloną przez atakującego. Ta liczba określa działanie złośliwego kodu. Eksperci z Trend Micro odkryli, że kradzież danych odbywa się tylko w przypadku odpowiednich numerów.

Adres URL prowadzi do kolejnego skryptu zidentyfikowanego przez Trend Micro jako JS_AGENT.SMJ. Odpowiada on za polecenia wysyłane do serwera Hotmail - wysyła wszystkie zarażone wiadomości do określonych adresów emaliowych. Przekazywana wiadomość będzie krążyła jednak tylko podczas sesji, w której skrypt został wykonany i przestanie po wylogowaniu się użytkownika.

Atak wykorzystuje błąd mechanizmu filtrowania zawartości poczty Hotmail (CVE-2011-1252). Microsoft podjął już działania i rozpoczął aktualizację w celu naprawienia luki. Eksperci Trend Micro przeanalizowali zamieszczany w wiadomościach złośliwy kod i odkryli, że kiedy mechanizm filtrowania zawartości Hotmail pracuje nad nim, paradoksalnie pomaga mu dopisać pewne elementy do parametrów CSS. Dzięki temu skrypt może podzielić się na dwie części, które teraz już oddzielnie będą zmieniać kod CSS przeglądarki internetowej. Pozwala to cyberprzestępcom na zmianę skryptów, tworząc narzędzie pozwalające wykonywać ich polecenia z aktualnie zalogowanego konta Hotmail.
Microsoft potwierdził istnienie luki i wypuścił aktualizację, która ma rozwiązać problem.

Wybrane dla Ciebie

Nowa broń amerykańskich F-16. Inni mają ją od dawna
Nowa broń amerykańskich F-16. Inni mają ją od dawna
Hit estońskiej zbrojeniówki dla Ukrainy. Sfinansowało go mocarstwo
Hit estońskiej zbrojeniówki dla Ukrainy. Sfinansowało go mocarstwo
Niemiecka obrona przeciwlotnicza opóźniona. Jej dolna warstwa nie istnieje
Niemiecka obrona przeciwlotnicza opóźniona. Jej dolna warstwa nie istnieje
Polska chce wypowiedzieć Traktat ottawski. Ustawa przeszła pierwsze czytanie
Polska chce wypowiedzieć Traktat ottawski. Ustawa przeszła pierwsze czytanie
Produkcja czołgów wraca do Polski. Przemysł odzyskuje utracone kompetencje
Produkcja czołgów wraca do Polski. Przemysł odzyskuje utracone kompetencje
Spowiedź Ukraińca. Część rannych żyje dzięki robotom
Spowiedź Ukraińca. Część rannych żyje dzięki robotom
Pierwszy taki widok w szeregach Rosjan. To jasny sygnał dla świata
Pierwszy taki widok w szeregach Rosjan. To jasny sygnał dla świata
Rosjanie ukryli czołg. Ukraińcy znaleźli na niego sposób
Rosjanie ukryli czołg. Ukraińcy znaleźli na niego sposób
Sąsiad Rosji z wyjątkowymi F-35. Nikt inny takich nie ma
Sąsiad Rosji z wyjątkowymi F-35. Nikt inny takich nie ma
Ukraińcy zbadali drony Rosjan. Tego jeszcze nie widzieli
Ukraińcy zbadali drony Rosjan. Tego jeszcze nie widzieli
Potęga pancerna Europy. Ponad 2 tys. czołgów, a ciągle im mało
Potęga pancerna Europy. Ponad 2 tys. czołgów, a ciągle im mało
Francuzi korzystają z taktyki Rosjan. Tak uderzyli w zagrożenie
Francuzi korzystają z taktyki Rosjan. Tak uderzyli w zagrożenie