This page has been robot translated, sorry for typos if any. Original content here.

Vulnérabilité dans skype, permettant de pirater n'importe quel compte

Уязвимость в skype, позволяющая угнать любой аккаунт

Il ya environ trois mois, j'ai écrit sur cette vulnérabilité critique dans le support de Skype, mais il n'a pas encore été corrigé (Déjà corrigé) .

Immédiatement, je dirai que je ne connais pas complètement la vulnérabilité, mais des détournements massifs de comptes ont récemment commencé.

Pour implémenter une attaque, il vous suffit de connaître l'e-mail de la victime.

Preuve de concept

  1. Nous enregistrons un nouveau compte Skype pour le savon de la victime (il y aura écrit un type pour ce savon déjà quelqu'un de zaregen). Ne faites pas attention - nous remplissons plus loin.
  2. Connectez-vous au client Skype
  3. Supprimer tous les cookies, allez à login.skype.com/account/password-reset-request conduire dans le savon de la victime.
  4. Dans Skype vient la notification:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Nous suivons le lien et voyons le savon de la victime et les listes de connexions enregistrées pour ce savon. Nous voyons aussi notre login.
  6. Sélectionnez le login de la victime et changez le mot de passe
  7. PROFIT
  8. Au courrier, les victimes de la lettre apparaissent dans le même ordre (partenaires et connaissances ont envoyé des captures d'écran de leurs boîtes aux lettres après le piratage):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    Et d'autres exemples: tyz | | tyz | | tyz | | tyz | | tyz


    Si vous êtes venu à ces lettres - une excuse pour être en alerte!


    La seule façon de protéger en ce moment est d'enregistrer une nouvelle adresse email inconnue de quiconque et de la changer Site Skype le compte de messagerie principal pour le nouveau compte.

    Attention s'il vous plait! Pour changer à travers le programme skype principal e-mail, il est impossible! Seulement à travers le site!


    Au cours de la dernière semaine, 10 personnes seulement de ma liste de contacts ont été piratées en utilisant cette vulnérabilité.

    Je tiens à avertir tout le monde le plus rapidement possible pour se protéger, car jusqu'à présent, Microsoft ne prend aucune mesure, prend soin de votre propre sécurité.


    UPD

    Il y avait un moyen (PoC), comment utiliser la vulnérabilité: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Commentaire officiel d'un représentant Skype:

    Nous avons reçu des rapports de vulnérabilités dans le système de sécurité Skype. Pour la sécurité de nos utilisateurs, nous avons temporairement désactivé la fonction de réinitialisation du mot de passe, et nous continuons d'explorer ce problème plus avant. Nous nous excusons pour le dérangement, la sécurité de nos utilisateurs est notre première priorité.