This page has been robot translated, sorry for typos if any. Original content here.

Sicherheitslücke in Skype, die die Entführung von Konten ermöglicht

Уязвимость в skype, позволяющая угнать любой аккаунт

Vor ungefähr drei Monaten habe ich über diese kritische Sicherheitslücke in der Skype-Unterstützung berichtet, die jedoch noch nicht behoben wurde (bereits behoben) .

Ich muss sofort sagen, dass ich die ganze Schwachstelle nicht kenne, aber in letzter Zeit haben massive Kontoentführungen begonnen.

Um den Angriff zu implementieren, müssen Sie nur die E-Mail-Adresse des Opfers kennen.

Proof-of-Concept

  1. Wir registrieren ein neues Skype-Konto für die Seife des Opfers (auf dieser Seife ist bereits jemand eingetragen). Nicht aufpassen - weiter ausfüllen.
  2. Melden Sie sich beim Skype-Client an
  3. Löschen Sie alle Cookies, gehen Sie zu login.skype.com/account/password-reset-request Fahren Sie in die Seife des Opfers.
  4. Skype fällt auf:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Wir folgen dem Link und sehen die Seife des Opfers und die Listen der auf dieser Seife registrierten Logins. Ihr Login ist auch sichtbar.
  6. Wir wählen den Login des Opfers und ändern das Passwort
  7. GEWINN
  8. Bei der Post erscheinen die Opfer des Briefes ungefähr in dieser Reihenfolge (Partner und Bekannte haben nach dem Hacking Screenshots ihrer Mailboxen gesendet):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    Und andere Beispiele: tyts | tyts | tyts | tyts | tyts


    Wenn Sie solche Briefe erhalten haben - ein Grund zur Vorsicht!


    Die einzige Möglichkeit, sich aktuell zu schützen , besteht darin, eine neue, unbekannte E-Mail-Adresse zu registrieren und diese über zu ändern Skype-Site Das Haupt-E-Mail-Konto für ein neues.

    Achtung! Es ist nicht möglich, die Haupt-E-Mail über Skype selbst zu ändern! Nur über die Website!


    In der letzten Woche wurden 10 Personen aus meiner Kontaktliste nur mit dieser Sicherheitsanfälligkeit gehackt.

    Ich möchte jeden warnen, sich so schnell wie möglich zu schützen, da Microsoft bisher nichts unternommen hat, kümmern Sie sich um Ihre eigene Sicherheit.


    UPD

    Es gab eine Möglichkeit (PoC), wie die Sicherheitsanfälligkeit verwendet werden kann: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Offizieller Kommentar eines Skype-Vertreters:

    Wir haben Skype-Sicherheitsanfälligkeitsberichte erhalten. Zur Sicherheit unserer Benutzer haben wir die Funktion zum Zurücksetzen des Passworts vorübergehend deaktiviert. Dieses Problem wird weiter untersucht. Wir entschuldigen uns für die Unannehmlichkeiten, die Sicherheit unserer Benutzer hat für uns oberste Priorität.