This page has been robot translated, sorry for typos if any. Original content here.

Sicherheitslücke in Skype, um jedes Konto entführen zu können

Уязвимость в skype, позволяющая угнать любой аккаунт

Vor ungefähr drei Monaten habe ich über diese kritische Sicherheitslücke in der Skype-Unterstützung geschrieben, aber es wurde noch nicht behoben (bereits behoben) .

Sofort werde ich sagen, dass ich die Schwachstelle nicht vollständig kenne, aber in letzter Zeit haben massive Hijackings von Accounts begonnen.

Um einen Angriff zu implementieren, müssen Sie nur die E-Mail des Opfers kennen.

Proof-of-Concept

  1. Wir registrieren ein neues Skype-Konto für die Seife des Opfers (es wird eine Art für diese Seife geschrieben werden schon jemand zaregen). Passen Sie nicht auf - wir füllen weiter aus.
  2. Melden Sie sich beim Skype-Client an
  3. Lösche alle Cookies, gehe zu login.skype.com/account/password-reset-request in die Seife des Opfers fahren.
  4. In Skype kommt die Benachrichtigung:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Wir folgen dem Link und sehen die Soap des Opfers und die Logins für diese Soap. Wir sehen auch unseren Login.
  6. Wählen Sie das Login des Opfers und ändern Sie das Passwort
  7. Gewinn
  8. Bei der Post erscheinen die Opfer des Briefes in etwa der gleichen Reihenfolge (Partner und Bekannte sendeten nach dem Hacken Screenshots ihrer Postfächer):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    Und andere Beispiele: Tyz | | Tyz | | Tyz | | Tyz | | Tyz


    Wenn Sie zu solchen Briefen kamen - eine Ausrede, um auf der Hut zu sein!


    Die einzige Möglichkeit, im Moment zu schützen , besteht darin, eine neue E-Mail-Adresse zu registrieren, die niemandem bekannt ist, und sie zu ändern Skype-Website das Haupt-E-Mail-Konto für das neue Konto.

    Achtung bitte! Um über das Programm skype Haupt-E-Mail zu ändern, ist es unmöglich! Nur durch die Website!


    Im Laufe der letzten Woche wurden 10 Personen aus meiner Kontaktliste mit dieser Sicherheitslücke gehackt.

    Ich möchte alle so schnell wie möglich warnen, um sich zu schützen, da Microsoft bisher nichts unternimmt, sich um seine eigene Sicherheit kümmert.


    UPD

    Es gab einen Weg (PoC), wie man die Sicherheitslücke benutzt: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Offizieller Kommentar eines Skype-Vertreters:

    Wir haben Berichte über Sicherheitslücken im Skype-Sicherheitssystem erhalten. Aus Gründen der Sicherheit unserer Benutzer haben wir die Funktion zum Zurücksetzen des Kennworts vorübergehend deaktiviert, und wir werden dieses Problem weiter untersuchen. Wir entschuldigen uns für die Unannehmlichkeiten, die Sicherheit unserer Benutzer ist unsere erste Priorität.