This page has been robot translated, sorry for typos if any. Original content here.

Уязвимость в skype, позволяющая угнать любой аккаунт

Уязвимость в skype, позволяющая угнать любой аккаунт

Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена (Уже исправлена).

Сразу скажу, что саму уязвимость я целиком не знаю, но в последнее время начались массовые угоны аккаунтов.

Для реализации атаки необходимо лишь знать e-mail жертвы.

Proof-of-Concept

  1. Регистрируем новый скайп акк на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
  2. Логинимся в скайп клиент
  3. Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
  4. В скайп приходит уведомление:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
  6. Выбираем логин жертвы и меняем пароль
  7. PROFIT
  8. На почте жертвы письма появляются примерно в такой последовательности(партнеры и знакомые прислали скриншоты своих почтовых ящиков после взлома):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    И еще другие примеры: тыц  |  тыц  |  тыц  |  тыц  |  тыц


    Если Вам приходили подобные письма — повод насторожиться!


    Единственный способ защититься на данный момент это зарегистрировать новый никому не известный e-mail адрес и сменить через сайт скайпа основной e-mail аккаунта на новый.

    Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!


    За последнюю неделю 10 человек только из моего контакт листа взломали с помощью этой уязвимости.

    Я хочу предупредить всех как можно быстрее обезопасить себя, так как пока что Microsoft не принимает никаких действий, позаботьтесь о своей безопасности сами.


    UPD

    Появился способ(PoC), как использовать уязвимость: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Официальный комментарий от представителя Skype:

    Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.