Hotmail, Yahoo e AOL – Vulnerabilità 0Day nel Reset delle Password

Ieri The Hacker News aveva segnalato una vulnerabilità nella funzione di recupero/reset della password dell’account di Hotmail, che permette di reimpostare le password degli account e bloccare l’accesso ai veri proprietari. La vulnerabilità è stata prontamente corretta da Microsfoft la quale ha anche confermato l’esistenza della falla.

Oggi l’hacker diversi hacker hanno svelato invece un’altra vulnerabilità che affligge i servizi di Hotmail, Yahoo e AOL.

La nuova vulnerabilità individuata sfrutta il plug-in Tamper Data di Fifefox in grado di vedere ed editare le richieste HTTP/HTTPS degli Header e Post in tempo reale.

Sono state dimostrate le vulnerabilità attraverso due video che vi riportiamo assieme a una breve guida per ogni servizio:

Hotmail

  1. Vai a questa pagina https://maccount.live.com/ac/resetpwdmain.aspx;
  2. Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
  3. Avvia Tamper Data;
  4. Elimina elemento “SendEmail_ContinueCmd”;
  5. Editare l’elemento “__V_previousForm” con il valore “ResetOptionForm”;
  6. Editare l’elemento “__viewstate” con il valore “%%% 2FwEXAQUDX19QDwUPTmV3UGFzc3dvcmRGb3JtZMw 2Fak6gMIVsxSlDMZxkMkI 2BEPFW”;
  7. Fare clic su OK e digitare la nuova password;
  8. Avviare Tamper Data e aggiungere l’elemento “__V_SecretAnswerProf”
  9. Fatto.

Video

Yahoo

  1. Vai a questa pagina https://edit.yahoo.com/forgot.
  2. Inserisci l’indirizzo email e inserire i 6 caratteri che vedi;
  3. Avvia Tamper Data;
  4. Cambiare l’elemento “Stage” con il valore “fe200”
  5. Fare clic su OK e digitare la nuova passwor;
  6. Fatto.

Video

AOL

  1. Vai alla pagina di ripristino password;
  2. Inserisci l’indirizzo email e inserire i caratteri che vedi;
  3. Avvia Tamper Data;
  4. Cambiare l’elemento “Action” con il valore “pwdReset”;
  5. Cambiare l’elemento “isSiteStateEncoded” con il valore “false”;
  6. Fare clic su OK e digita la nuova password;
  7. Fatto.

Via | The Hacker News

 

  • Unknown

    Guarda, non vorrei sbagliarmi ma mi sa che hanno fixato

  • Ospire

    Nel metodo indicato per hotmail il valore di “__V_SecretAnswerProf” è univoco per ogni account, pertanto il metodo non è funzionante ed il video di dimostrazione mostra una grande fesseria.
    Gli altri due servizi sono già stati fixati 😉

  • High Bit

    Scusate ma a qualcuno ha funzionato?