Benjamin Kunz Mejri, de 28 años de edad es el fundador de Vulnerability Laboratory. Este es un activo probador de pruebas de penetración y analista de seguridad de empresas privadas y públicas, entidades de alojamiento, bancos, isp (telecomunicaciones) e IPS. Sus especialidades son los controles de seguridad (pruebas de penetración) en servicios, software, aplicaciones, análisis de malware, economía subterránea, protección del gobierno o análisis de la ciberguerra, ingeniería inversa, conferencias o presentaciones y talleres sobre seguridad informática. Durante su trabajo como probador de penetración e investigador de  vulnerabilidades, muchas aplicaciones de código abierto o cerrado, software y servicios se hicieron más seguros.

Este investigador ha descubierto una grave vulnerabilidad en Windows Live Hotmail la cual consiste de una manera de modificar la contraseña de cualquier cuenta de este servicio de correo electrónico gratuito y, por tanto, robarla de su usuario legítimo. Ha trabajado en conjunto con el equipo de Microsoft para arreglar el fallo antes de hacerlo público, pero al parecer un atacante se le adelantó y con intenciones maliciosas, usó el fallo en su propio beneficio.

Kunz aviso a Microsoft el 6 de Abril del 2012 del grave problema. El token usado para proteger la sesión de restablecimiento de contraseña se podía eludir usando valores como “+++)-” puesto que este solo comprobaba si estaba vacío para cerrar o bloquear la sesión. El resultado es que se podía secuestrar cualquier cuenta de Hotmail.

Unos días antes, un atacante de origen saudita vendía en foros underground acceso a contraseñas de terceros por 20 euros. Parece que no se tomó muy en serio este aviso, hasta que el equipo de Microsoft comprobó que el descubrimiento de Kunz y ciertos incidentes detectados días antes y relacionados con el robo de cuentas muy atractivas (por ejemplo xxx@hotmail.com) coincidían. Tanto el investigador como el atacante habían descubierto el fallo de manera independiente, pero uno lo estaba usando en su propio beneficio y el otro alertó inmediatamente a Microsoft. Según la cronología de la vulnerabilidad, Microsoft el 21 de abril corrigió el problema, y el 26 del mismo mes se hizo público.

En términos más simples, el atacante utiliza el navegador Firefox y Tamper Data – un complemento de Firefox para interceptar y manipular el proceso completo.

Este exploit en particular se extendió como reguero de pólvora en los foros undergroud y fue explotado en el período de dos semanas entre la notificación y su corrección.

Según algunos reportes, muchas de estas cuentas de Hotmail que estaban vinculados a PayPal, Liberty Reserve fueron atacadas y saqueado el dinero. Muchos usuarios también se quejaron de recibir correos electrónicos no deseados de estas cuentas de Hotmail.

Traducción: Velcro

Fuentes:

http://www.vulnerability-lab.com/team.php

http://unaaldia.hispasec.com/2012/04/grave-fallo-de-seguridad-en-hotmail.html

http://blog.escanav.com/2012/04/27/hotmail-0day-vulnerability/

Anuncios