This page has been robot translated, sorry for typos if any. Original content here.

Vulnérabilité dans skype, permettant de détourner n'importe quel compte

Уязвимость в skype, позволяющая угнать любой аккаунт

Il y a environ trois mois, j'ai écrit sur cette vulnérabilité critique dans le support technique de skype, mais cela n'a pas encore été corrigé (déjà corrigé) .

Je dois dire tout de suite que je ne connais pas toute la vulnérabilité, mais des détournements massifs de comptes ont récemment commencé.

Pour mettre en œuvre l'attaque, il vous suffit de connaître l'adresse électronique de la victime.

Preuve de concept

  1. Nous enregistrons un nouveau compte Skype sur le feuilleton de la victime (une personne inscrite sur ce feuilleton sera déjà enregistrée). Ne faites pas attention - remplissez plus loin.
  2. Connexion au client Skype
  3. Supprimer tous les cookies, allez à login.skype.com/account/password-reset-request conduire dans le savon de la victime.
  4. Skype vient de remarquer:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Nous suivons le lien et voyons le feuilleton de la victime et les listes de connexions enregistrées sur ce feuilleton. Votre identifiant est également visible.
  6. Nous sélectionnons le login de la victime et changeons le mot de passe
  7. PROFIT
  8. À la poste, les victimes de la lettre apparaissent approximativement dans cette séquence (partenaires et connaissances ont envoyé des captures d'écran de leurs boîtes aux lettres après un piratage):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    Et d'autres exemples: des tyts | des tyts | des tyts | des tyts | des tyts


    Si de telles lettres vous sont parvenues, une raison de se méfier!


    Pour le moment, le seul moyen de vous protéger est d’enregistrer une nouvelle adresse e-mail inconnue et de la modifier via Site skype Le compte e-mail principal pour un nouveau.

    Attention! Il est impossible de modifier le courrier électronique principal via Skype lui-même! Seulement par le site!


    Au cours de la semaine dernière, 10 personnes de ma liste de contacts ont été piratées à l'aide de cette vulnérabilité.

    Je tiens à avertir tout le monde de se protéger le plus rapidement possible, car jusqu'à présent, Microsoft n'a pris aucune mesure, veillez à votre sécurité.


    UPD

    Il y avait un moyen (PoC) d'utiliser la vulnérabilité: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Commentaire officiel d'un représentant de Skype:

    Nous avons reçu des rapports de vulnérabilité de sécurité Skype. Pour la sécurité de nos utilisateurs, nous avons temporairement désactivé la fonction de réinitialisation du mot de passe et nous continuons à étudier ce problème plus avant. Nous nous excusons pour la gêne occasionnée, la sécurité de nos utilisateurs est notre priorité absolue.