Yahoo, de grootste e-mailprovider ter wereld, heeft een wormbesmetting opgelopen die volgens het bedrijf momenteel 'een zeer klein aandeel' van de meer dan 200 miljoen gebruikers van de dienst zou teisteren. De worm is 'Yamanner' gedoopt en verscheen als mailtje van de gebruiker 'av3@yahoo.com' met de titel 'New Graphic Site' in de mailboxen van een aantal onfortuinlijke Yahoo-gebruikers. In tegenstelling tot mailwormen die gebruikersinteractie zoals het openen van een attachment vereisen, wordt Yamanner al geactiveerd door een besmet mailtje te openen. De worm maakt hiertoe gebruik van een lek in Yahoo's e-maildienst dat het in staat stelt een stukje Javascript te draaien, waardoor het zichzelf naar alle e-mailcontacten toestuurt die het in de account van de pechvogel aantreft. Deze adressen worden ook naar een server toegestuurd die ze vermoedelijk voor spam-activiteiten zal misbruiken. Verder zou Yamanner geen schade aanrichten. Yahoo zegt reeds actie te hebben ondernomen om de besmetting het hoofd te bieden, maar Symantec vond de dreiging serieus genoeg om er een responsepagina aan te wijden. Het bewuste lek zou niet meer voorkomen in de bètaversie van Yahoo's e-maildienst. Kort geleden was ook Yahoo's Messenger doelwit van een wormaanval.
Worm bestookt Yahoo Mail
Door Mick de Neeve
Feedback • 13-06-2006 17:39 9Lees meer
JavaScript vormt toenemend veiligheidsrisico
Nieuws van 29 juli 2006
VS en China blijven klassement spamverzending aanvoeren
Nieuws van 25 juli 2006
'Wormhole' in Symantec AntiVirus ontdekt
Nieuws van 26 mei 2006
Yahoo Messenger-worm installeert eigen webbrowser
Nieuws van 22 mei 2006
Netsky twee jaar na arrestatie nog bovenaan virushitlijst
Nieuws van 10 mei 2006
Ongepatchte Exchange-servers 'mogelijk wormdoelwit'
Nieuws van 10 mei 2006
MSN Messenger-worm verwacht vanwege phishingsite
Nieuws van 2 mei 2006
Reacties (9)
Twee personen die ik ken zijn besmet geraakt.
Het virus/worm bestaat in meerdere variaties, omdat de maker, typefouten had gemaakt, waardoor het uiteindelijke doel van de worm, het versturen van de contactlijst naar een website (www.av3.net), mislukte bij de eerste versies.
Yahoo heeft zo snel mogelijk actie ondernomen door de email te blokkeren, echter het heeft zich zeer snel verspreid. De 2 personen die ik ken, hadden beide een 300+ contactlijst, dus het heeft toch tijd gehad om zich snel te verspreiden.
Het probleem is dat JavaScript verplicht aan moet staan, omdat anders Yahoo mail niet werkt. Zou anders handig zijn als Yahoo een funktie inbouwd, zodat HTML emails omgezet worden naar tekst, of dat elke vorm van XSS uitgeschakelt wordt.
Meer info, inclusief daadwerkelijke worm code @ securityfocus.com
@delenn, het valt wel degelijk onder XSS, lees anders wikipedia.org eventjes door op je gemak. Dit valt onder type-0, maar vooral een type-2 versie, waarbij het hotmail type-2 voorbeeld zeer veel overeenkomsten heeft.
Het virus/worm bestaat in meerdere variaties, omdat de maker, typefouten had gemaakt, waardoor het uiteindelijke doel van de worm, het versturen van de contactlijst naar een website (www.av3.net), mislukte bij de eerste versies.
Yahoo heeft zo snel mogelijk actie ondernomen door de email te blokkeren, echter het heeft zich zeer snel verspreid. De 2 personen die ik ken, hadden beide een 300+ contactlijst, dus het heeft toch tijd gehad om zich snel te verspreiden.
Het probleem is dat JavaScript verplicht aan moet staan, omdat anders Yahoo mail niet werkt. Zou anders handig zijn als Yahoo een funktie inbouwd, zodat HTML emails omgezet worden naar tekst, of dat elke vorm van XSS uitgeschakelt wordt.
Meer info, inclusief daadwerkelijke worm code @ securityfocus.com
@delenn, het valt wel degelijk onder XSS, lees anders wikipedia.org eventjes door op je gemak. Dit valt onder type-0, maar vooral een type-2 versie, waarbij het hotmail type-2 voorbeeld zeer veel overeenkomsten heeft.
Het probleem is dat dit geen XSS is... de javascript wordt allemaal vanuit de yahoo.com site gedaan, waardoor alles wat door de filtering komt zo'n beetje mag.
Maar aan de hand van het artikel over die myspace worm is er wel een redelijke boel aan te doen.
Maar aan de hand van het artikel over die myspace worm is er wel een redelijke boel aan te doen.
:strip_icc():strip_exif()/u/68401/crop621367cd595e0_cropped.jpg?f=community){kind=small}
Ben ik benieuwd hoe die code werkt...
Het kan namelijk ook een Internet Explorer probleem zijn, zoals bij MySpace gebeurt is. MSIE voert namelijk ook dingen uit als:
<img src="java
script
:alert('test')">
en
<span style="color: expression(alert('test'))">
Yahoo kan heel goed slachtoffer geworden zijn van deze MSIE bugs. Dit is overigens geen geheime informatie, maar eerder handig om te weten als je een webappliatie bouwen. Die moet je dus ook beschermen zodat mensen je site niet via deze bugs exploiten. Denk bijvoorbeeld aan forums met BBC codes als [color=blue] en [image=test], waarin je precies die tekens kunt plaatsen om de HTML hierboven te krijgen.
Het kan namelijk ook een Internet Explorer probleem zijn, zoals bij MySpace gebeurt is. MSIE voert namelijk ook dingen uit als:
<img src="java
script
:alert('test')">
en
<span style="color: expression(alert('test'))">
Yahoo kan heel goed slachtoffer geworden zijn van deze MSIE bugs. Dit is overigens geen geheime informatie, maar eerder handig om te weten als je een webappliatie bouwen. Die moet je dus ook beschermen zodat mensen je site niet via deze bugs exploiten. Denk bijvoorbeeld aan forums met BBC codes als [color=blue] en [image=test], waarin je precies die tekens kunt plaatsen om de HTML hierboven te krijgen.
dat zijn geen bugs, dat zijn undocumented features...
:strip_exif()/u/12408/dm_u_judi.gif?f=community){kind=small}
ik denk dat het specifiek niet gaat om een lek in de browser zelf ...
normaal kan je met javascript sowieso binnen een domein handelingen utvoeren (zoals dus inderdaad het opvragen van informatie uit een webpagina die dit script runt en het doorsturen van deze informatie ... bv AJAX werkt sterk daarmee)
online webmail-aanbieders zullen daarom de mogelijkheden om HTML door te sturen sterk ingeperkt hebben, en zeker de mogelijkheid om scripts te runnen ...
in dat filter zal nu bij YAHOO een lek zitten en dat is een redelijk zware fout omdat dan exploits zeer eenvoudig te schrijven zijn
normaal kan je met javascript sowieso binnen een domein handelingen utvoeren (zoals dus inderdaad het opvragen van informatie uit een webpagina die dit script runt en het doorsturen van deze informatie ... bv AJAX werkt sterk daarmee)
online webmail-aanbieders zullen daarom de mogelijkheden om HTML door te sturen sterk ingeperkt hebben, en zeker de mogelijkheid om scripts te runnen ...
in dat filter zal nu bij YAHOO een lek zitten en dat is een redelijk zware fout omdat dan exploits zeer eenvoudig te schrijven zijn
:strip_icc():strip_exif()/u/57828/Nibbler-60x60.jpg?f=community){kind=small}
En toch kan dat best nog wel eens lastig zijn... herinner je je die 'Samy is my hero'-worm nog die een tijdje op MySpace rondwaardde? Hier is te lezen hoe hij alle beveiligingen omzeilde. Erg interessant om als web developer te lezen... en dan wordt ook gelijk duidelijk dat een simpel 'javascript'-filter alleen niet gaat werken.
Zoals je aan mijn post kan zien, mag je op sommige plaatsen de "javascript:" string opsplitsen. Hoe goed je filter ook is, in je filter zul je ook dergelijke bugs moeten filteren. En kom op, een image-tag die verwijst naar een JavaScript url, daarvan verwacht je toch niet dat dat uitgevoerd wordt? 
Ik heb hem gekregen op mijn Yahoo adres, maar gelukkig niet geopend en gedelete zonder te lezen...
Ik ben met Yahoo een hele tijd spamloos geweest, maar krijg de laatste tijd aardig wat stockoffers en andere aanbiedingen waar ik niet op zit te wachten.
Ik ben met Yahoo een hele tijd spamloos geweest, maar krijg de laatste tijd aardig wat stockoffers en andere aanbiedingen waar ik niet op zit te wachten.
/u/28781/ipodicon.JPG?f=community){kind=small}
Heb ik hierdoor opeens 500+ yahoo e-mail berichten in mijn inbox van groups waar ik heel lang geleden lid van geworden was?
Op dit item kan niet meer gereageerd worden.