Ieri The Hacker News aveva segnalato una vulnerabilità nella funzione di recupero/reset della password dell’account di Hotmail, che permette di reimpostare le password degli account e bloccare l’accesso ai veri proprietari. La vulnerabilità è stata prontamente corretta da Microsfoft la quale ha anche confermato l’esistenza della falla.
Oggi l’hacker diversi hacker hanno svelato invece un’altra vulnerabilità che affligge i servizi di Hotmail, Yahoo e AOL.
La nuova vulnerabilità individuata sfrutta il plug-in Tamper Data di Fifefox in grado di vedere ed editare le richieste HTTP/HTTPS degli Header e Post in tempo reale.
Sono state dimostrate le vulnerabilità attraverso due video che vi riportiamo assieme a una breve guida per ogni servizio:
Hotmail
- Vai a questa pagina https://maccount.live.com/ac/resetpwdmain.aspx;
- Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
- Avvia Tamper Data;
- Elimina elemento “SendEmail_ContinueCmd”;
- Editare l’elemento “__V_previousForm” con il valore “ResetOptionForm”;
- Editare l’elemento “__viewstate” con il valore “%%% 2FwEXAQUDX19QDwUPTmV3UGFzc3dvcmRGb3JtZMw 2Fak6gMIVsxSlDMZxkMkI 2BEPFW”;
- Fare clic su OK e digitare la nuova password;
- Avviare Tamper Data e aggiungere l’elemento “__V_SecretAnswerProf”
- Fatto.
Video
[youtube]http://www.youtube.com/watch?feature=player_embedded&v=wdyDN82Egaw[/youtube]
Yahoo
- Vai a questa pagina https://edit.yahoo.com/forgot.
- Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
- Avvia Tamper Data;
- Cambiare l’elemento “Stage” con il valore “fe200”
- Fare clic su OK e digitare la nuova passwor;
- Fatto.
Video
[youtube]http://www.youtube.com/watch?feature=player_embedded&v=ONYxH2ewuVE#![/youtube]
AOL
- Vai alla pagina di ripristino password;
- Inserisci l’indirizzo email e inserire i caratteri che vedi;
- Avvia Tamper Data;
- Cambiare l’elemento “Action” con il valore “pwdReset”;
- Cambiare l’elemento “isSiteStateEncoded” con il valore “false”;
- Fare clic su OK e digita la nuova password;
- Fatto.
Via | The Hacker News
Guarda, non vorrei sbagliarmi ma mi sa che hanno fixato
Nel metodo indicato per hotmail il valore di “__V_SecretAnswerProf” è univoco per ogni account, pertanto il metodo non è funzionante ed il video di dimostrazione mostra una grande fesseria.
Gli altri due servizi sono già stati fixati 😉
Scusate ma a qualcuno ha funzionato?