1+1=3

Bug XSS en Hotmail, permite robar cuentas de correo

Una vulnerabilidad en el manejo de correos por parte de Hotmail puede ser utilizada para la obtención de contraseñas a las cuentas personales. Hace unos días apareció en diferentes sitios web de comentarios personales (Blogs) una explicación de un fallo de seguridad en Hotmail. Ha sido a su vez comentado en numerosos sitios de seguridad informática de habla hispana. Publicado días atrás en un foro de seguridad como una novedad, varios expertos comprobaron la gravedad del problema, lo que elevó el nivel de alerta, debido a la popularidad que goza el mencionado servicio.

“Lo sorprendente de esta vulnerabilidad es lo fácil que puede ser usada para lograr datos de la cuenta personal sin tener mucho conocimiento del tema”, comentaron investigadores de ESET. “En menos de 5 minutos logramos hacer una prueba exitosa con una cuenta temporal.”

Un atacante podría engañar a los usuarios del servicio mediante un correo electrónico con un enlace de apariencia inocente.

Al visitar el sitio donde es hospedado la página maliciosa, se ejecuta un script que captura una cookie generada por el servidor de Hotmail. En la misma se encuentran datos confidenciales que el usuario utiliza para acceder a su correo. Esta información es enviada automáticamente al autor del ataque, en un correo electrónico.

Es importante tener en cuenta que al hacer un simple clic, la cuenta de la víctima ha dejado de ser segura. Esto puede ser usado para atacar a toda la lista de contactos existentes, sin que se perciba nada extraño.

El robo de identidad es un delito de rápido crecimiento, y este fallo ayuda a aumentar sus incidencias globales. Un pirata podría utilizar las cuentas de Hotmail para enviar decenas de mensajes simulando ser el dueño de las mismas.

A tiempo de publicar la noticia, el fallo continuaba siendo explotable.

Son afectadas las cuentas de Hotmail y relacionadas.

Microsoft, responsable de Hotmail, no ha hecho comentario alguno ni se ha publicado ninguna resolución sobre el problema reportado.

Nunca abra un enlace no solicitado, recibido por correo electrónico o messenger.

Si aún desea abrir un enlace de una fuente segura, se recomienda proceder de la siguiente manera. Cierre las sesiones de su MSN Messenger e Internet Explorer en uso y utilice un nuevo navegador para pegar la dirección en él, e ir al sitio deseado.

Esto minimizará el impacto de esta vulnerabilidad, pero de ningún modo significa que estaremos completamente a salvo del robo de información personal, si no aplicamos las más estrictas normas de conducta al navegar por Internet.

Si quieren pueden ver en que consiste el fallo y como pueden explotarlo tambien (Espero no abusen de esto) xD

Continuar Leyendo...