Pesquisadores da Trend Micro descobriram um ciberataque que explorava uma vulnerabilidade ainda não corrigida no Hotmail. A empresa detectou a mensagem de e-mail maliciosa HTML_AGENT.SMJ que, ao ser aberta, automaticamente executava um script incorporado. Isso provoca o roubo de mensagens e dados sobre os contatos pessoais do usuário atingido, entre os quais pode haver informações buscadas pelos cibercriminosos.
O script se conecta a uma URL maliciosa com duas variáveis — {user account name}, que é o ID do Hotmail do usuário-alvo, e {number}, um número pré-definido pelo atacante. Pesquisas da empresa indicam que o número determina o tipo de ataque a ser executado, uma vez que as rotinas de roubo de informação só são executadas quando certos números aparecem no campo {number}.
A URL leva a outro script, detectado como JS_AGENT.SMJ, que ativa uma requisição enviada para o servidor Hotmail. Esta envia todas as mensagens de e-mail do usuário afetado para outro endereço específico. No entanto, o encaminhamento só ocorre durante a sessão em que o script é executado e para quando o usuário fecha a sessão (faz logoff).
O ataque se aproveita de um bug no mecanismo de filtro de CSS do Hotmail. Ao processar o código, ele ajuda a inserir um caractere nos parâmetros CSS e converte o script em duas linhas separadas processadas pelo motor CSS do navegador. Isso permite que os cibercriminosos transformem o script em algo que os ajude a executar comandos arbitrários na sessão em execução do Hotmail.
Os scripts maliciosos e as URLs relacionadas a este ataque foram detectados e bloqueados pelas tecnologias de reputação web e de arquivo da Trend Micro, a Smart Protection Network. A Microsoft já reconheceu a existência da vulnerabilidade e lançou uma atualização de segurança para corrigir o caso.
