Две недели назад вышел патч для критической уязвимости в Yahoo Mail, позволявшей получить полный контроль над учетной записью. Брешь была приватно раскрыта 26 декабря финским исследователем Йоуко Пюннёненом (Jouko Pynnönen), получившим за нее $10 тыс.; это одна из самых больших сумм, выплаченных Yahoo в рамках программы Bug Bounty.

Пюннёнен обнаружил сохраняемую уязвимость межсайтового скриптинга, открывающую возможность для чтения и отправки писем в скомпрометированном аккаунте, изменения настроек или перенаправления сообщений на сервер, находящийся под контролем атакующих. Эксплойт этой бреши, по словам исследователя, не требует манипуляций со ссылками или вложениями, жертве достаточно лишь открыть вредоносное письмо.

«Данную уязвимость можно использовать для исполнения JavaScript в браузере жертвы, выполнившей вход в Yahoo, — пояснил Пюннёнен журналистам Threatpost. — Атакующий сможет сделать многое с помощью такого скрипта. К примеру, просто читать почту жертвы и пересылать письма на другой адрес. Или скопировать вредоносный код в почтовые настройки, чтобы тот смог тиражировать себя во всех исходящих письмах. В частности, такой код можно внедрить в подпись жертвы, которая автоматически подставляется в каждое исходящее письмо».

Данных о публичных эксплойтах у собеседника Threatpost пока нет.

В своей публикации Пюннёнен отметил, что почтовый антивирус Yahoo в данном случае можно обойти с помощью особого HTML- или JavaScript-кода. XSS-уязвимости подвержены лишь веб-версии Yahoo Mail, мобильному приложению она не опасна.

В ходе проверки Yahoo Mail финский исследователь создал сообщение со всеми известными HTML-тэгами и атрибутами, чтобы выяснить, какие из них допустимы в Yahoo. Он быстро обнаружил, что, если указать значение определенных атрибутов булевого типа, фильтр Yahoo его удалит. «Эту путаницу можно использовать для внесения ничем не ограниченных атрибутов в тэги HTML, допускающие наличие «булева» атрибута», — пишет Пюннёнен. Любой JavaScript-код, внесенный в атрибут, будет незамедлительно выполнен, причем без участия пользователя.

В подтверждение своей находки исследователь представил в Yahoo два PoC-эксплойта: «Один пересылает входящую почту на внешний веб-сайт, если открыть особым образом сформированное вредоносное письмо. Жертве оно покажется вполне безвредным, но в фоновом режиме начнется передача. Второй PoC — это вирус, заражающий подпись жертвы с тем, чтобы вредоносный код впоследствии включался в каждое исходящее письмо».

Категории: Кибероборона, Уязвимости