30/4/12

Grave 0-Day en Hotmail, AOL y Yahoo permite cambio de contraseñas

Ayer se reportó una grave vulnerabilidad 0-day en Hotmail, que permitía a usuarios no legítimos cambiar la contraseña de cualquier correo sin necesidad de logeo, contraseña o responder preguntas secretas, sólo se necesitaba el famoso add-on Tamper Data  y cambiar parámetros en las solicitudes HTTP en tiempo real. Esto permitió que muchos "hackers" (usuarios no legítimos) resetearan las contraseñas de muchas cuentas de usuarios legítimos. Una vez la contraseña estaba "restablecida", se podía acceder a la cuenta simplemente con la nueva contraseña y dejar sin acceso al real usuario de la cuenta.

 Como si no fuera suficiente, hoy otro hacker desconocido informó de otras vulnerabilidades similares en Hotmail, Yahoo y AOL. Que también hacían uso de Tamper Data para cambiar parámetros en las solicitudes HTTP y resetear la contraseña con éxito.

Esta es una de las vulnerabilidad más crítica que a afectado a estas 3 empresas (Hotmail, AOL y Yahoo) y que de pasada deja a millones de usuarios afectados.

Un portavoz de Microsoft confirmó la existencia de la falla de seguridad y también del arreglo, pero no ofreció más detalles, solo afirmaron que sus usuarios "están protegidos".

A continuación las demostraciones de los tres 0-Day:







 Ir a https://maccount.live.com/ac/resetpwdmain.aspx
Introduzca el correo electrónico que quiere cambiar contraseña y el CAPTCHA.
Iniciar Tamper Data
Borrar parámetro "SendEmail_ContinueCmd"
Cambiar parámetro "__V_previousForm" a "ResetOptionForm"
Cambiar parámetro "__viewstate" a "%2FwEXAQUDX19QDwUPTmV3UGFzc3dvcmRGb3JtZMw%2BEPFW%2Fak6gMIVsxSlDMZxkMkI"
Clic en OK y escriba la contraseña nueva.
Iniciar TamperDaTa y Agregar el parametro "__V_SecretAnswerProof" aquí se agrega una variable que no está especifica :(

 YAHOO:

http://www.youtube.com/watch?v=ONYxH2ewuVE&feature=player_embedded








Ir a https://edit.yahoo.com/forgot
Introducir el correo electrónico de destino y el CAPTCHA.
Iniciar Tamper Data.
Cambiar parámetro "Stage" a "fe200".
Clic en OK y escribir la contraseña nueva.
Iniciar Tamper Data en el parámetro z.
Listo.

AOL:
 Ir a la página de Restablecer contraseña.
Introducir el correo electrónico de destino y el CAPTCHA.
Iniciar Tamper Data.
Cambiar parámetro "action" a "pwdReset".
Cambiar parámetro "isSiteStateEncoded" a "false".
Clic en OK y escriba la contraseña nueva.
Iniciar Tamper DaTa En parámetro rndNO.
Listo.



por la info.

Al final de la publicación del post original de blackploit mencionan que ya están parcheadas, pero quería compartir el post de ellos para el caso de estudio, me pareció muy interesante. 



3 comentarios:

Ike dijo...

Me parece increíble la facilidad con la quitan y añaden campos y la web se los come... menos mal que lo arreglaron...

Muy buen post Zerial, siempre sorprendiendo =)

Anónimo dijo...

sigue copiando de otras paginas, postea el link de donde salio mejor

zerial killer dijo...

Amigo "anonimo" cuando una info que veo de otros blogs me parece muy interesante la posteo en mi blog tal y como viene del blog original de donde la leí, si hubieras leído todo el post hubieras notado que siempre al terminar el articulo pongo un agradecimiento de donde la vi y el link......

aun así gracias por tu comentario "anonimo"


Gracias a http://www.blackploit.com

por la info.

te lo pongo de nuevo =) saludos