Sección9 - Seguridad

El equipo de seccion9 seguridad os informa de un fallo de Hotmail ya corregido:

Benjamin Kunz Mejri ha descubierto una manera de modificar la contraseña de cualquier cuenta de Hotmail y, por tanto, robarla de su usuario legítimo. Ha trabajado con el equipo de Microsoft para arreglar el fallo antes de hacerlo público, pero parece que algún atacante se le adelantó y, con otras intenciones, usó el fallo en su propio beneficio. Repasamos algunos de los grandes fallos de seguridad de Hotmail.

Kunz avisó el 6 de abril a Microsoft del grave problema. El token usado para proteger la sesión de restablecimiento de contraseña se podía eludir usando valores como "+++)-" puesto que solo comprobaba si estaba vacío para cerrar o bloquear la sesión. El resultado es que se podía secuestrar cualquier cuenta de Hotmail.

¿Os han secuestrado alguna cuenta?

Unos días antes, un atacante de origen saudita vendía en foros underground acceso a contraseñas de terceros por 20 euros. Parece que no se tomó muy en serio su aviso, hasta que el equipo de Microsoft comprobó que el descubrimiento de Kunz y ciertos incidentes detectados días antes y relacionados con el robo de cuentas muy atractivas (por ejemplo xxx@hotmail.com) coincidían. Tanto el investigador como el atacante había descubierto el fallo de manera independiente, pero uno lo estaba usando en su propio beneficio y otro alertó inmediatamente a Microsoft. El 21 de abril ya se había corregido el problema, y el 26 se hizo público.

Posted in: seguridad en la red