Venden exploit 0-day para secuestrar cuentas de Yahoo!
Un egipcio puso a la venta, por sólo $700 dólares, una vulnerabilidad de día cero para el correo electrónico de Yahoo!, lo que permite que un ciberdelincuente aproveche un Cross-site-scripting (XSS) para robar las cookies y secuestrar las cuentas.
Por lo general, un atacante envía un enlace malicioso en un correo electrónico, el script se ejecuta cuando el receptor hace clic en el link, lo que permite el acceso a las cookies y otra información sensible.
"Después de que la víctima hace clic en el enlace, será redirigido a la página de email otra vez. Y, posteriormente, se le puede dirigir a cualquier lugar que se quiera", dijo el hacker autodenominado TheHell Hunter en el video de demostración. Allí asegura en el video que el costo que da tiene una muy buena oferta, pues este tipo de vulnerabilidades son vendidas hasta en el doble.
"Estoy vendiendo XSS de Yahoo que roba cookies de correo electrónico y funciona en cualquier navegador. Además no es necesario pasar por alto los filtros XSS de Internet Explorer o Chrome, y esto lo hace porque almacena XSS. Los precios para este exploit rondan de los $1,100 dólares a los $1,500 dólares, mientras yo lo ofrezco por $700 dólares y lo venderé sólo a personas de confianza, no quiero que sea parchado pronto", comentó el cibercriminal.
El director de seguridad de Yahoo! Ramses Martínez aseguró a KrebsOnSecurity, quienes alertaron a la compañía estadounidense postearon el video en YouTube, que arreglar la vulnerabilidad será fácil, lo complicado es encontrar dónde se encuentra.
Fuente: bSecure
Por lo general, un atacante envía un enlace malicioso en un correo electrónico, el script se ejecuta cuando el receptor hace clic en el link, lo que permite el acceso a las cookies y otra información sensible.
"Después de que la víctima hace clic en el enlace, será redirigido a la página de email otra vez. Y, posteriormente, se le puede dirigir a cualquier lugar que se quiera", dijo el hacker autodenominado TheHell Hunter en el video de demostración. Allí asegura en el video que el costo que da tiene una muy buena oferta, pues este tipo de vulnerabilidades son vendidas hasta en el doble.
"Estoy vendiendo XSS de Yahoo que roba cookies de correo electrónico y funciona en cualquier navegador. Además no es necesario pasar por alto los filtros XSS de Internet Explorer o Chrome, y esto lo hace porque almacena XSS. Los precios para este exploit rondan de los $1,100 dólares a los $1,500 dólares, mientras yo lo ofrezco por $700 dólares y lo venderé sólo a personas de confianza, no quiero que sea parchado pronto", comentó el cibercriminal.
El director de seguridad de Yahoo! Ramses Martínez aseguró a KrebsOnSecurity, quienes alertaron a la compañía estadounidense postearon el video en YouTube, que arreglar la vulnerabilidad será fácil, lo complicado es encontrar dónde se encuentra.
Fuente: bSecure
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!