Уязвимость в skype, позволяющая угнать любой аккаунт

Уязвимость в skype, позволяющая угнать любой аккаунт

Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена (Уже исправлена).

Сразу скажу, что саму уязвимость я целиком не знаю, но в последнее время начались массовые угоны аккаунтов.

Для реализации атаки необходимо лишь знать e-mail жертвы.

Proof-of-Concept

  1. Регистрируем новый скайп акк на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
  2. Логинимся в скайп клиент
  3. Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
  4. В скайп приходит уведомление:
    Уязвимость в skype, позволяющая угнать любой аккаунт

    Уязвимость в skype, позволяющая угнать любой аккаунт
  5. Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
  6. Выбираем логин жертвы и меняем пароль
  7. PROFIT

На почте жертвы письма появляются примерно в такой последовательности(партнеры и знакомые прислали скриншоты своих почтовых ящиков после взлома):

Уязвимость в skype, позволяющая угнать любой аккаунт

И еще другие примеры:тыц |  тыц |  тыц |  тыц |  тыц


Если Вам приходили подобные письма — повод насторожиться!


Единственный способ защититься на данный момент это зарегистрировать новый никому не известный e-mail адрес и сменить через сайт скайпа основной e-mail аккаунта на новый.

Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!


За последнюю неделю 10 человек только из моего контакт листа взломали с помощью этой уязвимости.

Я хочу предупредить всех как можно быстрее обезопасить себя, так как пока что Microsoft не принимает никаких действий, позаботьтесь о своей безопасности сами.


UPD

Появился способ(PoC), как использовать уязвимость: http://forum.xeksec.com/f13/t68922/#post98725

UPD2

Официальный комментарий от представителя Skype:

Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей.