Une vulnérabilité dans skype, permettant de voler un compte

Уязвимость в skype, позволяющая угнать любой аккаунт

Il y a environ trois mois , j'écrit à ce sujet une vulnérabilité critique dans le soutien de skype, mais il n'a pas encore été fixée (déjà fixé).

Je dois dire que je ne sais complètement pas la vulnérabilité sous-jacente, mais a récemment commencé des déportations massives de comptes.

Pour la mise en oeuvre de l'attaque , il est seulement nécessaire de connaître courrier électronique de la victime.

Proof-of-Concept

  1. Nous inscrire un nouveau sacrifices skype acc de savon (il sera écrit à ce type de savon quelqu'un eV). Ne faites pas attention - remplir sur.
  2. Se connecter sur le client Skype
  3. Nous supprimons tous les cookies, aller à login.skype.com/account/password-reset-request Nous essayons de conduire le savon de la victime.
  4. Skype vient dans l'avis:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Allez sur le lien et de voir les victimes du savon et des listes logins enregistrés dans ce savon. Sa connexion est également visible.
  6. Le choix de la connexion de la victime et changer votre mot de passe
  7. PROFIT
  8. Sur-mails au sujet de la victime apparaissent dans cet ordre (partenaires et amis ont envoyé des captures d'écran de leurs boîtes aux lettres après la pause):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    Et encore d' autres exemples: tyts | tyts | tyts | tyts | tyts


    Si vous avez ces lettres - une raison d'être gardée!


    La seule façon de se protéger en ce moment est d'enregistrer une nouvelle adresse e-mail inconnu et changer à travers site Skype la principale compte e-mail à un nouveau.

    Attention! Changer par le programme principal se skype e-mail ne peut pas être! Seulement à travers le site!


    Au cours de la dernière semaine seulement 10 personnes de ma liste de contacts piraté par cette vulnérabilité.

    Je veux avertir tout le monde comment se protéger plus rapidement, aussi longtemps que Microsoft ne prend aucune mesure, prendre soin de leur propre sécurité.


    UPD

    Il y avait une méthode (PoC), comment utiliser la vulnérabilité: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Le commentaire officiel du représentant de Skype:

    Nous avons reçu des rapports d'une vulnérabilité dans la sécurité Skype. En vue de la sécurité de nos clients, nous avons temporairement désactivé la fonction de réinitialisation de mot, alors que nous continuons d'étudier plus avant cette question. Nous nous excusons pour la gêne occasionnée, la sécurité de nos clients est notre priorité absolue.