Luka w poczcie Hotmail
Kilka dni temu odkryto atak internetowy skierowany w wiadomości pocztowe wysyłane za pomocą serwisów webmailowych. Po dokładniejszym zbadaniu sprawy możemy powiedzieć, że ataki wykorzystywały luki w Hotmailu. Specjaliści z firmy Trend Micro ujawnili, że złośliwy skrypt przekazywany za pomocą emaili to HTML_AGENT.SMJ.
Wspomniany atak wymaga od użytkownika jedynie otwarcia specjalnie przygotowanego emaila - później automatycznie uruchomi się złośliwy kod. Prowadzi to bezpośrednio do kradzieży kluczowych informacji, zwłaszcza naszych emaili i danych z książki adresowej użytkownika. Skradzione emaile mogą zawierać poufne informacje, które cyberprzestępcy mogą wykorzystać na różne sposoby.
Złośliwy skrypt łączy się z adresem: http://www.{BLOCKED}eofpublic.com/Microsoft.MSN.hotmail/mail/rdm/rdm.asp?a= {nazwa konta użytkownika}{numer} aby pobrać kolejną porcję złośliwego skryptu.
Charakter wspomnianego adresu URL wyraźnie sugeruje, że atak jest kierowany. Adres zawiera dwie zmienne - nazwę konta użytkownika, która jest loginem Hotmail, oraz numer, będący predefiniowaną liczbą ustaloną przez atakującego. Ta liczba określa działanie złośliwego kodu. Eksperci z Trend Micro odkryli, że kradzież danych odbywa się tylko w przypadku odpowiednich numerów.
Adres URL prowadzi do kolejnego skryptu zidentyfikowanego przez Trend Micro jako JS_AGENT.SMJ. Odpowiada on za polecenia wysyłane do serwera Hotmail - wysyła wszystkie zarażone wiadomości do określonych adresów emaliowych. Przekazywana wiadomość będzie krążyła jednak tylko podczas sesji, w której skrypt został wykonany i przestanie po wylogowaniu się użytkownika.
Atak wykorzystuje błąd mechanizmu filtrowania zawartości poczty Hotmail (CVE-2011-1252). Microsoft podjął już działania i rozpoczął aktualizację w celu naprawienia luki.
Eksperci z firmy Trend Micro przeanalizowali zamieszczany w wiadomościach złośliwy kod i odkryli, że kiedy mechanizm filtrowania zawartości Hotmail pracuje nad nim, paradoksalnie pomaga mu dopisać pewne elementy do parametrów CSS. Dzięki temu skrypt może podzielić się na dwie części, które teraz już oddzielnie będą zmieniać kod CSS przeglądarki internetowej. Pozwala to cyberprzestępcom na zmianę skryptów, tworząc narzędzie pozwalające wykonywać ich polecenia z aktualnie zalogowanego konta Hotmail.