Ο ερευνητής ασφαλείας Ebrahim Hegazy εντόπισε μια ευπάθεια που επέτρεπε injection απομακρυσμένου κώδικα σε subdomains της Yahoo, της Microsoft και της Orange. Ευτυχώς, το κενό ασφαλείας έχει ήδη καθοριστεί από τους τεχνικούς των εταιρειών.
Ο εμπειρογνώμονας ανακάλυψε το ελάττωμα, αναλύοντας ένα subdomain της Yahoo στο Μεξικό (το mx.horoscopo.yahoo.net). Στο συγκεκριμένο subdomain εντοπίστηκε ένα διαχειριστικό πανελ που θα μπορούσε να προσεγγιστεί χωρίς διαπιστευτήρια σύνδεσης. Ο ερευνητής αποκάλεσε την ευπάθεια αυτή “μη εξουσιοδοτημένη πρόσβαση Διαχειριστή” ή “Εμεσο αντικείμενο αναφοράς” (Unauthorized Admin Access ή Indirect Object Reference)
Από αυτό το ανοιχτό πάνελ, ο Hegazy κατάφερε να ανεβάσει δικά του αρχείο aspx στο διακομιστή. Τα αρχεία αυτά μπορούσαν άνετα να περιέχουν κώδικα που θα επέτρεπε σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα, αναφέρει ο εμπειρογνωμόνων στο blog του. Ωστόσο, το αρχείο φορτώθηκε για τους σκοπούς της έρευνας και περιείχε μόνο ένα απλό string .
Αφού αναγνώρισε την ευπάθεια, προσπάθησε να εξετάσει και άλλα sybdomains της Yahoο. Προς μεγάλη του έκπληξη, ανακάλυψε ότι η ευπάθεια δεν υπήρχε μόνο στα όχι μόνο στα subdomains της Yahoo, αλλά και σε υποτομείς του MSN της Microsoft καθώς και στη γαλλική εταιρεία τηλεπικοινωνιών Orange.
“Το συγκλονιστικό είναι ότι δεν ανέβασα/δημιούργησα τη σελίδα μου σε κάθε domain για να κάνω ένα καλό POC! Μόλις δημιούργησα αυτή τη σελίδα σε έναν από τα domains (pe.horoscopo.yahoo.net, ar.horoscopo.yahoo.net, co.horoscopo.yahoo.net, cl.horoscopo.yahoo.net, astrocentro.latino.msn.com, astrologia.latino.msn.com, horoscopo.es.msn.com, horoscopos.prodigy.msn.com, και astrocentro.mujer.orange.es) της Yahoο, ανακάλυψα ότι η σελίδα μου έχει δημιουργηθεί και σε όλα τα sites που φιλοξενούνται στον ίδιο server, Yahoο, MSN, Orange και άλλα,” αναφέρει ο ερευνητής.
«Φανταστείτε να χρησιμοποιήσουν αυτή την ευπάθεια black hat hackers, δημιουργώντας μια σελίδα aspx “Iframed” με κακόβουλο περιεχόμενο σε τέτοια domains υψηλού προφίλ όπως της Yahoο.net, MSN.com και Orange.es.”
Ο ερευνητής ανέφερε τα ευρήματα του στη Microsoft, τη Yahoο και την Orange. Η Orange δεν έχει απαντήσει στην κοινοποίηση του, ενώ η Yahoo αποφάσισε να ανταμείψει τον εμπειρογνώμονα.
Για περισσότερες τεχνικές λεπτομέρειες σχετικά με την ευπάθεια, επισκεφθείτε την ιστοσελίδα του Hegazy.
