Una vulnerabilidad de 0 day (día cero) sin parches en Yahoo Messenger permite a un atacante remoto publicar actualizaciones de estado en nombre de cualquier usuario – Según revelaron el pasado viernes 2 de Diciembre investigadores de seguridad de Bitdefender la vulnerabilidad está siendo utilizada para distribuir malware.

Las versiones de clientes vulnerables se encuentran en la versión 11.x de Yahoo Messenger, incluyendo la recién liberada versión 11.5.0.152-us.

El ataque comienza con el envío de un falso archivo adjunto a un usuario. Si éste lo abre, su estado – la frase que aparece junto a su nombre en el servicio de mensajería instantánea – se modificará de inmediato por el elegido por el atacante.

Según han podido observar los investigadores de BitDefender, esta vulnerabilidad estaría siendo ya usada por los ciberdelincuentes para distribuir malware. Para ello, estarían cambiado el estado de los usuarios por enlaces que dirigen a páginas web infectadas con malware, de manera que los usuarios que hagan clic en esos enlaces, queden también infectados y comiencen, ellos también, a distribuir malware.

BitDefender ofrece los siguientes escenarios posibles:

Mensaje de estado de la víctima es intercambiado con un texto para conseguir atención que apunta a una página que aloja una vulnerabilidad de día cero contra el navegador IE, los entornos Java o Flash instalados de forma local o incluso un bug del lector de PDF, por mencionar sólo algunos. Cuando se hace clic en un contacto en el mensaje de estado de la víctima, lo más probable es que se infectan con el virus sin siquiera saberlo. Todo este tiempo, la víctima no es consciente de que su mensaje de Estado ha sido secuestrado.

Los usuarios que pueden recibir mensajes de los contactos fuera de sus listas son “100% vulnerables”, dice la firma de seguridad.

Para protegerse, los usuarios deben establecer en las opciones de Yahoo Messenger “ignorar quien no está en tus contactos de Yahoo!”.

Nota: Esto está desactivado por defecto.

¿Tal vez Yahoo pueda considerar encendido por defecto, hmm?

Traducción: Velcro

Fuentes:

Sophos NakedSecurity Blog

malwarecity.es

Anuncios