30/4/12

Grave 0-Day en Hotmail, AOL y Yahoo permite cambio de contraseñas

Ayer se reportó una grave vulnerabilidad 0-day en Hotmail, que permitía a usuarios no legítimos cambiar la contraseña de cualquier correo sin necesidad de logeo, contraseña o responder preguntas secretas, sólo se necesitaba el famoso add-on Tamper Data  y cambiar parámetros en las solicitudes HTTP en tiempo real. Esto permitió que muchos "hackers" (usuarios no legítimos) resetearan las contraseñas de muchas cuentas de usuarios legítimos. Una vez la contraseña estaba "restablecida", se podía acceder a la cuenta simplemente con la nueva contraseña y dejar sin acceso al real usuario de la cuenta.

 Como si no fuera suficiente, hoy otro hacker desconocido informó de otras vulnerabilidades similares en Hotmail, Yahoo y AOL. Que también hacían uso de Tamper Data para cambiar parámetros en las solicitudes HTTP y resetear la contraseña con éxito.

Esta es una de las vulnerabilidad más crítica que a afectado a estas 3 empresas (Hotmail, AOL y Yahoo) y que de pasada deja a millones de usuarios afectados.

Un portavoz de Microsoft confirmó la existencia de la falla de seguridad y también del arreglo, pero no ofreció más detalles, solo afirmaron que sus usuarios "están protegidos".

A continuación las demostraciones de los tres 0-Day:







 Ir a https://maccount.live.com/ac/resetpwdmain.aspx
Introduzca el correo electrónico que quiere cambiar contraseña y el CAPTCHA.
Iniciar Tamper Data
Borrar parámetro "SendEmail_ContinueCmd"
Cambiar parámetro "__V_previousForm" a "ResetOptionForm"
Cambiar parámetro "__viewstate" a "%2FwEXAQUDX19QDwUPTmV3UGFzc3dvcmRGb3JtZMw%2BEPFW%2Fak6gMIVsxSlDMZxkMkI"
Clic en OK y escriba la contraseña nueva.
Iniciar TamperDaTa y Agregar el parametro "__V_SecretAnswerProof" aquí se agrega una variable que no está especifica :(

 YAHOO:

http://www.youtube.com/watch?v=ONYxH2ewuVE&feature=player_embedded








Ir a https://edit.yahoo.com/forgot
Introducir el correo electrónico de destino y el CAPTCHA.
Iniciar Tamper Data.
Cambiar parámetro "Stage" a "fe200".
Clic en OK y escribir la contraseña nueva.
Iniciar Tamper Data en el parámetro z.
Listo.

AOL:
 Ir a la página de Restablecer contraseña.
Introducir el correo electrónico de destino y el CAPTCHA.
Iniciar Tamper Data.
Cambiar parámetro "action" a "pwdReset".
Cambiar parámetro "isSiteStateEncoded" a "false".
Clic en OK y escriba la contraseña nueva.
Iniciar Tamper DaTa En parámetro rndNO.
Listo.



por la info.

Al final de la publicación del post original de blackploit mencionan que ya están parcheadas, pero quería compartir el post de ellos para el caso de estudio, me pareció muy interesante. 



Publicar un comentario