Ieri The Hacker News aveva segnalato una vulnerabilità nella funzione di recupero/reset della password dell’account di Hotmail, che permette di reimpostare le password degli account e bloccare l’accesso ai veri proprietari. La vulnerabilità è stata prontamente corretta da Microsfoft la quale ha anche confermato l’esistenza della falla.
Oggi l’hacker diversi hacker hanno svelato invece un’altra vulnerabilità che affligge i servizi di Hotmail, Yahoo e AOL.
La nuova vulnerabilità individuata sfrutta il plug-in Tamper Data di Fifefox in grado di vedere ed editare le richieste HTTP/HTTPS degli Header e Post in tempo reale.
Sono state dimostrate le vulnerabilità attraverso due video che vi riportiamo assieme a una breve guida per ogni servizio:
Hotmail
- Vai a questa pagina https://maccount.live.com/ac/resetpwdmain.aspx;
- Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
- Avvia Tamper Data;
- Elimina elemento “SendEmail_ContinueCmd”;
- Editare l’elemento “__V_previousForm” con il valore “ResetOptionForm”;
- Editare l’elemento “__viewstate” con il valore “%%% 2FwEXAQUDX19QDwUPTmV3UGFzc3dvcmRGb3JtZMw 2Fak6gMIVsxSlDMZxkMkI 2BEPFW”;
- Fare clic su OK e digitare la nuova password;
- Avviare Tamper Data e aggiungere l’elemento “__V_SecretAnswerProf”
- Fatto.
Video
Yahoo
- Vai a questa pagina https://edit.yahoo.com/forgot.
- Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
- Avvia Tamper Data;
- Cambiare l’elemento “Stage” con il valore “fe200”
- Fare clic su OK e digitare la nuova passwor;
- Fatto.
Video
AOL
- Vai alla pagina di ripristino password;
- Inserisci l’indirizzo email e inserire i caratteri che vedi;
- Avvia Tamper Data;
- Cambiare l’elemento “Action” con il valore “pwdReset”;
- Cambiare l’elemento “isSiteStateEncoded” con il valore “false”;
- Fare clic su OK e digita la nuova password;
- Fatto.
Via | The Hacker News
