domenica 16 dicembre 2012

Vulnerabilità consente furto account Hotmail sottraendo cookie autenticazione


I ricercatori di sicurezza Mohit Kumar e Christy Philip Mathew hanno scoperto che una vulnerabilità di gestione dei cookie consente ai criminali informatici di accedere agli account degli utenti Hotmail e di Outlook. Gli esperti hanno dimostrato che un utente malintenzionato che può accedere ai cookie di autenticazione può semplicemente importarli nel browser utilizzando un componente aggiuntivo "cookie importer" per browser e il cracker sarà automaticamente registrato per conto della sua vittima, quando accede a uno dei servizi Microsoft.



Kumar spiega che ci sono vari metodi che possono essere utilizzati per accedere ai cookie di autenticazione: man-in-the-middle se la vittima e l'aggressore sono sulla stessa rete, utilizzando malware, sfruttando un difetto cross-site-scripting (XSS) - se ne esiste uno, o accedendo fisicamente al dispositivo della vittima. I ricercatori hanno notificato a Microsoft questa vulnerabilità. I rappresentanti della società di Redmond sostengono che questo è un problema noto e che stanno pensando di implementare un sistema di revoca pass in una prossima release.

Microsoft come molti siti Web utilizza i cookie, dove sono memorizzate le informazioni sulla sessione nel browser per gli utenti Web. I cookie sono responsabili del mantenimento di una sessione nei computer. Una volta che un utente si disconnette da un PC i cookies di sessione devono essere disattivati e non possono essere riutilizzati. Ma, come spiega The Hacker News, nel caso di Hotmail e Outlook, anche dopo il logout, è possibile utilizzare nuovamente gli stessi cookie per la sessione di autenticazione senza l'utilizzo di password di accesso.



Per dimostrare questo Proof of Concept, prima di tutto gli utenti dovrebbero sapere su cookie di importazione ed esportazione. Un passo serio tecnico? No, è sufficiente un semplice addon per Firefox chiamato "cookie-importer" (download) per l'importazione e un "cookie-exporter" (dowload) per esportare i cookie nel browser. Il primo passo è accedere al proprio account di posta elettronica Hotmail o Outlook, visitare il cookie esportatore e salvare il file nel proprio sistema, quindi il logout dell'account

Andare su un altro browser o qualsiasi altro sistema, selezionare il file di importazione. Una volta importati, basta aprire outlook.com o hotmail.com nel browser e si può vedere che l'account vittima si collegherà automaticamente, utilizzando gli stessi cookie. I ricercatori hanno dimostrato questa operazione sul loro blog già il mese scorso. Microsoft ha risposto alla segnalazione di Christy, evidenziando il fatto che i servizi utilizzano i cookie indipendenti che trasmettono su una connessione protetta al fine di evitare attacchi replay



Inoltre, il team di sicurezza Microsoft sostiene che un attaccante non può modificare la password della vittima perché ciò gli impone di conoscere la vecchia password. Ma è possibile importare i cookie di sessione anche senza l'accesso fisico al PC. A tal proposito, uno dei migliori strumenti per l'esecuzione di hijacking over HTTPS dei cookie di sessione è un programma test di penetrazione di Android chiamato "dSploit", con l'opzione "Hijacker Session". Ci sono molti strumenti simili disponibili per questo scopo.

Aziende Internet giganti come Google, Paypal, Facebook pagano migliaia di dollari come il Bug Bounty Program per risolvere Cross Site Scripting perché queste vulnerabilità possono essere utilizzate per rubare all'utente cookie per il dirottamento di account. Allo stesso modo, se un hacker scopre un vulnerabilità XSS in Hotmail o Outlook in futuro, sarà in grado di rubare i cookie attraverso collegamenti dannosi. Il consiglio è quello di eliminare i cookie di sessione dopo aver effettuato il logout da Hotmail o qualsiasi altro servizio, ad esempio Facebook.

3 commenti: