22 Nisan 2012 Pazar

Hacking Windows Live Account via Password Reset Area Token - Hotmail Açığı - Nisan 2012

Hacking Windowslive
Hacking Windowslive Hotmail Vulnerability


Hacking Windows Live Account via Password Reset Area Token Nedir ?

(Orjinal ismi : Microsoft MSN Hotmail - Password Reset & Setup Vulnerability)

Bu açık ilk olarak 2012 yılının Mart-Nisan ayında Ortadoğu lu (Arap yada İranlı) olarak tahmin* ettiğim bazı kişiler tarafından keşfedilmiş yüksek dereceli bir açıktır. Açığın ismini kullanılışına göre ben verdim. Daha önce Hotmail de çıkan açıkların çok benzeridir. Bu açığın bir benzeri de daha önce tarafımdan Facebook ta bulunmuştu. 2008 de Hotmailde bu şekilde çıkan önceki parola sıfırlama açığı Facebook ta ki açığın ve bu açığın çok benzeridir.

*
İlk Resmi Olarak Açığı Microsofta Bildiren Kişi: Benjamin Kunz Mejri
Açık hakkında sonradan netleşen bilgilere buradan ulaşabilirsiniz :

http://www.vulnerability-lab.com/get_content.php?id=529

Bu Hotmail Hacking açığı ile Tüm Hotmail Adresleri Hacklenebilir miydi ?

Evet dünyadaki tüm windows live hesapları bu açık sayesinde hacklenebilirdi. Örneğin domaininizdeki pop3 emaili messenger ile bağladığınız bu tür hesapların bile hacklenmesi mümkündü. Bunun yanında Windows live in sağladığı tüm uzantıdaki emaillerin bu açık sayesinde hacklenmesi mümkündü.

Zaafiyet Tam olarak Nerede Bulunuyordu ?

Açık tam olarak Windows Live in Parola Sıfırlama alanında bulunuyordu.

Açığın kaynaklanma sebebi neydi ?

Açığın kaynaklanma sebebi parola sıfırlama alanında gönderilen değişkenlerin kontrolünde "Email" değerini direk alarak sıfırlama kısmına yönlendirmesi ve burada oluşan bir mantık hatasından kaynaklanıyordu.
Bu tür büyük sistemlerde daima böyle açıklar çıkabileceğini daha önceki bildirimlerimize yinelemiştik.
Artık web tabanlı kullanılan Cross Site Scripting (XSS) gibi zaafiyetlerin önüne cookie çalınmasını engellemek için sabit cookie değeri sistemini geliştirselerde bu tür hataların önüne geçemeyen çok basit açıklar bırakan büyük sistemlerle karşı karşıyayız.

Açığın kullanımı nasıldı ?

Açığın kullanımında saldırgan sizle hiçbir şekilde temasa geçmeden emailinizi parola sıfırlama alanından parolamı unuttum diyerek girer. Emailinizin sıfırlama seçeneklerinde ;
* Alternatif email gönderme
* Gizli Soru
* Cep telefonuna mesaj gönderme
seçeneklerinden herhangi birisi varsa değerler gönderilirken value değerlerinde oynama yaparak yeni şifre alanına geçilmesi sağlanır. Yeni şifre alanında gönderilen değerlerde post edilen tokeni kendine göre bir değer göndererek yeni şifrenin kabul etmesi sağlanır. Ve saldırgan 2 adımda hesabınızın şifresini değiştirerek hesabınıza giriş yapar.

Açık nasıl kapatıldı ?

Açığın kapatılma sürecini açıkca tam olarak bilmiyorum* ileriki zamanlarda netleştikçe konuya dahil edebiliriz fakat ilk olarak birkaç özel arap formunda yayınlandığı ile ilgili bilgiye ulaştım. Daha sonradan bu açığın hangi alanda kaynaklandığı ile ilgili birkaç özel videoya ulaştım. Devamı getirilmeyen videonun üzerinde uğraşarak , ipuçlarıyla ve birkaç Filistinli dost bağlantılarımla sonuca ulaştım açığı elde ettim. Zaafiyeti bilen kişi sayısının fazlalığı ve bu açık sayesinde etkilenen kişilerin bir anda artması Microsoft Ekibinde şüphe uyandırdı ve ardından ilk geçici önlemleri parola sıfırlama alanını silmek oldu. Tabi ki açığı kendi hesaplarının etkilenmesinden dolayı açığı bilen kişiler tarafından Microsoft a bildirmiş olması da bir ihtimal detaylarını şuan için bilmemekteyim. Fakat bildiğim tek şey açığın kullanıldığı şekliyle şuan fixlenmiş olmasıdır. Bu açıkla ilgili yeni açıklar çıkabilir mi bunu zaman gösterecek... =)

*Açık hakkında sonradan netleşen bilgilere buradan ulaşabilirsiniz :
http://www.vulnerability-lab.com/get_content.php?id=529

Bu açık hakkında hiç video var mı?

Evet bu açık hakkında şuana kadar büyük sistemlerde elime geçen gerek kendi bulduğum gerek elde ettiğim tüm açıklarda video çektiğim gibi bunda da belirli bir video çektim.
Video nun çekilmesinde kullandığım hesap daha önce Facebook açığını bildirirken kullandığım hesapla aynı olabilir aceleden yeni bir hesap açmaya dahi vaktim olmadı =)
Video da kullanılan Firefox un bir eklentisidir. Güvenlik uzmanlarının çoğunun http sniffing ederken veya kaynaktaki verileri gönderirken değerleri basitçe değiştirmek için etkin bir şekilde kullandığı her derde deva araçlardan bir tanesidir =)
Video yu aşağıdan izleyebilirsiniz.

Emrullah Akdemir

Hacking Windows Live Accounts via Password Reset Area - April 2012 from Emrullah on Vimeo.

22 yorum:

  1. Helal olsun demekten başka birşey gelmiyor elimden :) Yalnız fark ettiğim üzere fb dede hotmaildede veriler post edilirken ortaya doğan açık mevcuttu. Yani buda demek oluyor ki post edilen sayfalar incelenerek daha çok açık keşif edilebilir..

    YanıtlaSil
  2. Tamper daha çok can yakacak =)

    YanıtlaSil
  3. Eline sağlık.

    YanıtlaSil
  4. Bu yorum bir blog yöneticisi tarafından silindi.

    YanıtlaSil
  5. Emrullah
    Türkiye ' de gelmiş geçmiş en başarılı kişilerdensin tebrik ederim.

    YanıtlaSil
  6. Merak ettim simdi bu arap formunu (olarak birkaç özel arap formunda yayınlandığı ile ilgili bilgiye) : )

    YanıtlaSil
    Yanıtlar
    1. söyleyeyim. Çoğu kişi yeni şifre alanına geliyor fakat yeni şifre belirleyemiyordu. Bu kısma kadar olan halini birçok yerde video olarak görmek mümkündü özellikle arap forumlarında ;) Önemli olan token verisine doğru veriyi girmekti bunu yapanlar zaten açığa eriştiler.

      Sil
  7. ve bu acık kaldırıldı tüh :))))

    YanıtlaSil
  8. peki tam olarak bu token verisini nasil buluyoruz.. nasil olsa acik kapanmis meark ettim videodan tam olarak anlamadim...

    Bi ara xss acigi guzeldi bu acigi kacirdigima uzuldum :)) Boyle bi acigi bilseydim guzel ve saglam maillerimi hacklerdim...

    YanıtlaSil
  9. iauthztoken ne yaziyorsunuz, onemli kisim burasi mi??

    YanıtlaSil
    Yanıtlar
    1. evet önemli kısım orasıYDI.
      Yazılan değerler tokenin boş kabul etmediğinden dolayı bulunan değerler bazı karakterler idi.
      Örneğin ++(- gibi karakterler. Benim video da bypass için kullandığım ++ değeri.

      Sil
  10. http://www.vulnerability-lab.com/get_content.php?id=529

    Solution:
    =========
    2012-04-20: Vendor Fix/Patch :)

    YanıtlaSil
    Yanıtlar
    1. Açıklamaya göre ilk hotmaile bildirim tarihi 6.Nisan. Ve bu kadar uzun süre bu açığın durmasına izin veren bir hotmail çok şaşırtıcı geldi :)

      Kaynak için teşekkürler kapatılma süreci olarak konuya dahil edildi.

      Sil
  11. Öncelikle bunları payşatığınız için teşekkür ederim.

    Sizi bulmamın sebebi benim de hacklenmiş olmam.
    Yılladır emek zaman ve para harcadığım MMORPG oyunda iyi bi yerdeyken farkına varmadan keybloger ile hesabım çalındı. Bu kişiyi buldum ve oan gereken cezayı vermek istiyorum. Bana bu konuda yardımcı olursanız çok sevinirim.

    efemujdat@me.com

    YanıtlaSil
  12. Tüm bu işlerle uğraşırken proxy ya da VPN kullanıyor musunuz?

    YanıtlaSil
  13. Gerçekten Takdire değer başarıların var bu bilgiye kötü kullanmadığın için sana ben ve benim gibilerin binlerce kez teşekkür etmesi gerekiyor başarılarının devamını dilerim Allah yolunu açık etsin

    YanıtlaSil
  14. güzel makale olmuş Hocam bu programın aynısı charles'te var onun kadar Başarılı gelişmiş. kaç aydır ugraşiyorum. toplu mail gönder açigini yakaladım. Proxy Http Debugger Programı charles 3.6.4

    YanıtlaSil
  15. Tamper Mozilla Firefox İle uyumsuzz Diyor Ne yapmalıyım ?

    YanıtlaSil
    Yanıtlar
    1. Tamper data nın Firefox un güncel sürümüne uyumlu versiyonu çıkana kadar eski firefox sürümünde denemelisin.

      Sil
  16. çok başarılı bir web siteniz var yakından takip ediyor başarılarınızın devamını diliyorum

    YanıtlaSil
  17. kardeşim varmı böyle açık felan şu an

    YanıtlaSil
  18. kral adamsın abi, Allah başarılarını daim etsin.

    YanıtlaSil