lunedì 30 marzo 2009

Computer attaccati solo aprendo una normale mail ricevuta: 40 milioni di caselle di posta a rischio

Matteo Carli e Rosario Vallotta, esperti in sicurezza applicativa, SEO e sviluppo di progetti legati al web, hanno individuato alcune vulnerabilità delle web mail basate sul framework di messaggistica Memova, sviluppato da Critical Path, e adottato come soluzione per la gestione della posta elettronica da numerose aziende, fra le quali Tiscali, Wind, Telecom, Vodafone e Virgin.

Un’ampia diffusione, dunque, in tutta Europa, con una enorme base di utenti, tanto che le falle avrebbero potuto comportare rischi per 40 milioni di caselle di posta.

Come spiega Carli nel suo blog, la soluzione Memova è personalizzata in base alle necessità del cliente, ma le caratteristiche di base sono comuni, così come le vulnerabilità. La privacy di milioni di account email poteva essere messa a rischio da vulnerabilità XXS (Cross-site scripting) e CSRF (Cross-site request forgery).

In particolare, i malintenzionati avrebbero potuto violare la riservatezza delle vittime senza ricorrere ai comuni metodi di identity stealing, ma semplicemente inviando email preparate ad arte. La pericolosità di questa tecnica, prosegue Carli, è resa critica per la compresenza di tre fattori: semplicità di exploiting, scarsa awareness della vittima, ovvero nessuna interazione richiesta all’utente, diffusione sul web.

In pratica, l’attaccante invia una email costruita ad hoc alla casella di posta elettronica della vittima. Quando questa legge il messaggio, senza che si debba cliccare su alcun link, viene impostato da remoto l’inoltro automatico a tutte le email in ingresso. Conoscenti, colleghi e amici della vittima scrivono email alla vittima stessa e tutte le email in ingresso nella casella vengono inoltrate all’attaccante in maniera trasparente. Carli e Vallotta hanno prontamente contattato Critical Path, che nel giro di due settimane ha distribuito ai propri clienti una patch per risolvere la vulnerabilità.

Fonte: webmasterpoint

Visita Sponsor:

Calcio Napoli Web - Il Forum Sul Calcio Napoli
http://www.calcionapoliweb.altervista.org

Nessun commento:

Posta un commento