This page has been robot translated, sorry for typos if any. Original content here.

Sicherheitslücke in Skype, um jedes Konto entführen zu können

Уязвимость в skype, позволяющая угнать любой аккаунт

Vor etwa drei Monaten habe ich über diese kritische Schwachstelle in der Skype-Unterstützung geschrieben, die aber noch nicht behoben wurde (Bereits behoben) .

Ich werde sofort sagen, dass ich die ganze Schwachstelle nicht kenne, aber in letzter Zeit haben massive Kontoentführungen begonnen.

Um den Angriff zu implementieren, müssen Sie nur die E-Mail des Opfers kennen.

Proof-of-Concept

  1. Wir registrieren einen neuen Skype-Account auf der Seife des Opfers (es wird jemand auf diese Seife geschrieben sein, der bereits registriert ist). Passen Sie nicht auf - füllen Sie weiter aus.
  2. Melden Sie sich beim Skype-Client an
  3. Lösche alle Cookies, gehe zu login.skype.com/account/password-reset-request wir fahren die Seife des Opfers hinein.
  4. Skype wird auffallen:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Wir folgen dem Link und sehen die Seife des Opfers und die Logins, die auf dieser Seife registriert sind. Ihr Login ist ebenfalls sichtbar.
  6. Wir wählen den Login des Opfers und ändern das Passwort
  7. Gewinn
  8. Bei der Post erscheinen die Opfer des Briefes ungefähr in dieser Reihenfolge (Partner und Bekannte sendeten nach dem Hacken Screenshots ihrer Postfächer):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    Und andere Beispiele: Tyts | Tyts | Tyts | Tyts | Tyts


    Wenn solche Briefe zu dir kamen - ein Grund, vorsichtig zu sein!


    Die einzige Möglichkeit, sich im Moment zu schützen , besteht darin, eine neue unbekannte E-Mail-Adresse zu registrieren und diese über zu ändern Skype-Website Der Haupt-E-Mail-Account für einen neuen.

    Achtung! Es ist unmöglich, die Haupt-E-Mail über Skype selbst zu ändern! Nur durch die Website!


    In der letzten Woche wurden 10 Personen aus meiner Kontaktliste nur mit dieser Sicherheitsanfälligkeit gehackt.

    Ich möchte alle warnen, sich so schnell wie möglich zu schützen, da Microsoft bislang nichts unternommen hat, um Ihre eigene Sicherheit zu kümmern.


    UPD

    Es gab einen Weg (PoC), wie man die Schwachstelle benutzt: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Offizieller Kommentar eines Skype-Vertreters:

    Wir haben Berichte über eine Sicherheitslücke in Skype erhalten. Aus Gründen der Sicherheit unserer Benutzer haben wir die Funktion zum Zurücksetzen des Kennworts vorübergehend deaktiviert, und wir werden dieses Problem weiter untersuchen. Wir entschuldigen uns für die Unannehmlichkeiten, die Sicherheit unserer Nutzer hat für uns oberste Priorität.