Hace unos días un hacker de Arabia Saudi miembro de dev-point.com detecto una vulnerabilidad 0-day en el portal de correo electrónico de Hotmail.com que permitia a un atacante saltarse las protecciones durante el servicio de recuperación de contraseñas y acceder a las cuentas sin la necesaria autorización.
Rápidamente, el hacker desarrollo un
exploit remoto que automaticamente decodificada el sistema de
protección antispam (CAPTCHA), realizar el bypass de autorización y
permitia obtener el acceso a las cuenta hotmail. Se propago por la red
underground y diversos foros especializados la existencia de una web que
por el módico precio de 20$ (pago paypal) accedía a cualquier cuenta
solicitada por el cliente.
DESCRIPCIÓN DE LA VULNERABILIDAD
Un atacante podía realizar un "bypass" (evadir) los mecanismos de protección en la WEB de recuperación de contraseñas que Microsoft tenia implementados en su servicio de correo electrónico Hotmail.com. Esta protección se basaba en la comprobación simple de un token de sesión que proporciona el acceso a la cuenta una vez el usuario había cambiado la contraseña.
La vulnerabilidad se basa en la función de comprobación del token, puesto que el sistema solamente hacia una comprobación del tipo "verdadero" o "falso" sobre la autorización del usuario que visitaba el servicio de recuperación de contraseñas. La manipulación adecuada de este token de sesión permitió al acatante saltarse el mecanismo de control y acceder a la cuenta Hotmail sin necesidad de conocer la contraseña.
FUNCIONAMIENTO (EXPLOIT)
Hay múltiples páginas web en Internet que ofrecen una explicación sobre el método de ataque (exploit) sobre el servicio de correo electrónico Hotmail.com. Como ya he explicado antes, se trata de manipular un token en dicha página. Este token se puede manipular facilmente con un add-ons de Firefox denominado "Tamper Data" que permite interceptar y manipular en tiempo real el tráfico HTTP "saliente" desde el navegador a la página web.
Una vez instalada esta aplicación todos los hackers coinciden en el método, seleccionaban "Olvide mi password" y "Enviarme el link por email" antes justo de activar el "Tamper Data", interceptar el tráfico HTTP y manipular los datos.
 |
| Microsoft Zaro-Day Flaw by "iAuthZToken" attribute. |
El campo concreto que se ha de manipular se denomina "iAuthZToken" donde se añade "+++" y se envia la información. A continuación se tendría acceso a la cuenta hotmail correspondiente.
SOLUCIÓN
Microsoft rápidamente lanzo un parche que soluciona el problema.
REFERENCIAS
0 comentarios:
Publicar un comentario