This page has been robot translated, sorry for typos if any. Original content here.

Skype vulnérabilité à détourner n'importe quel compte

Уязвимость в skype, позволяющая угнать любой аккаунт

Il y a environ trois mois, j'ai écrit sur cette vulnérabilité critique dans le support technique de skype, mais celle-ci n'a pas encore été corrigée (Déjà corrigée) .

Je dois dire tout de suite que je ne connais pas tout à fait la vulnérabilité elle-même, mais des détournements massifs de comptes ont récemment commencé.

Pour mettre en œuvre l'attaque, il vous suffit de connaître l'adresse électronique de la victime.

Preuve de concept

  1. Nous sommes en train d’enregistrer un nouveau compte Skype pour le feuilleton de la victime (il sera écrit qu’une personne est enregistrée pour ce feuilleton). Ne faites pas attention - remplissez plus loin.
  2. Connexion au client Skype
  3. Supprimer tous les cookies, allez à login.skype.com/account/password-reset-request conduire dans le savon de la victime.
  4. Une notification vient de skype:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Nous suivons le lien et voyons le feuilleton de la victime et les listes de connexions enregistrées pour ce savon. Nous voyons aussi votre identifiant.
  6. Sélectionnez le nom d'utilisateur de la victime et changez le mot de passe
  7. PROFIT
  8. Au courrier de la victime, les lettres apparaissent dans l'ordre approximatif suivant (partenaires et connaissances ont envoyé des captures d'écran de leur boîte aux lettres après un piratage):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    Et d'autres exemples: des tyts | des tyts | des tyts | des tyts | des tyts


    Si vous recevez de telles lettres - une raison de se méfier!


    Pour le moment, le seul moyen de vous protéger est d’enregistrer une nouvelle adresse e-mail inconnue et de la modifier. site de skype compte de messagerie principal à un nouveau.

    Attention! Vous ne pouvez pas modifier le courrier électronique principal via le programme skype lui-même! Seulement par le site!


    La semaine dernière, 10 personnes de ma fiche de contact ont été piratées à l'aide de cette vulnérabilité.

    Je tiens à avertir tout le monde de se protéger le plus rapidement possible, car pour l'instant Microsoft ne prend aucune mesure, prenez soin de votre sécurité vous-même.


    UPD

    Il y avait un moyen (PoC) d'utiliser la vulnérabilité: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Un commentaire officiel d'un représentant de Skype:

    Nous avons reçu des rapports faisant état d'une vulnérabilité de sécurité Skype. Pour la sécurité de nos utilisateurs, nous avons temporairement désactivé la fonctionnalité de réinitialisation du mot de passe, et nous continuons d’explorer plus avant ce problème. Nous nous excusons pour la gêne occasionnée, la sécurité de nos utilisateurs est notre première priorité.