This page has been robot translated, sorry for typos if any. Original content here.

Уразливість в skype, що дозволяє викрасти будь-який аккаунт

Уязвимость в skype, позволяющая угнать любой аккаунт

Місяців зо три тому я писав про цю критичної уразливості в skype support, але вона до цих пір не виправлена (Вже виправлена).

Відразу скажу, що саму уразливість я цілком не знаю, але останнім часом почалися масові викрадення акаунтів.

Для реалізації атаки необхідно лише знати e-mail жертви.

Proof-of-Concept

  1. Реєструємо новий скайп акк на мило жертви (там буде написано типу на це мило вже хтось зарегиться). Чи не звертаємо уваги - заповнюємо далі.
  2. Логіном в скайп клієнт
  3. Видаляємо все куки, йдемо на login.skype.com/account/password-reset-request вбиваємо мило жертви.
  4. В скайп приходить повідомлення:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Переходимо по посиланню і бачимо мило жертви і списки логінів зареєстрованих на це мило. Свій логін теж бачимо.
  6. Вибираємо логін жертви і міняємо пароль
  7. PROFIT
  8. На пошті жертви листи з'являються приблизно в такій послідовності (партнери і знайомі надіслали скріншоти своїх поштових скриньок після злому):

    Уязвимость в skype, позволяющая угнать любой аккаунт

    І ще інші приклади: тиц | тиц | тиц | тиц | тиц


    Якщо Вам приходили подібні листи - привід насторожитися!


    Єдиний спосіб захиститися на даний момент це зареєструвати новий нікому не відомий e-mail адресу і змінити через сайт скайпу основний e-mail облікового запису на новий.

    Увага! Змінити через саму програму skype основний e-mail не можна! Тільки через сайт!


    За останній тиждень 10 осіб тільки з мого контакт листа зламали за допомогою цієї уразливості.

    Я хочу попередити всіх якомога швидше убезпечити себе, так як поки що Microsoft не приймає ніяких дій, подбайте про свою безпеку самі.


    UPD

    З'явився спосіб (PoC), як використовувати уразливість: http://forum.xeksec.com/f13/t68922/#post98725

    UPD2

    Офіційний коментар від представника Skype:

    Ми отримали повідомлення про уразливість в системі безпеки Skype. З метою безпеки наших користувачів ми тимчасово відключили функцію скидання пароля, також ми продовжуємо далі досліджувати це питання. Приносимо свої вибачення за незручність, безпеку наших користувачів є нашим першочерговим завданням.