Уязвимость в skype, позволяющая угнать любой аккаунт

Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена.

Сразу скажу, что саму уязвимость я целиком не знаю, но в последнее время начались массовые угоны аккаунтов.

Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы.

Proof-of-Concept я не знаю. Но делается по достаточно незамысловатой схеме:
-Регистрируется новый скайп на e-mail жертвы.
-Запрашивается восстановление пароля скайпа на этот e-mail.
-Меняется e-mail на зарегистрированном скайпе.
-Дальнейшие действия мне не известны, то ли маркер пароля опять восстанавливается на уже подконтрольную злоумышленнику почту, то ли еще что-то, в итоге злоумышленник меняет пароль от вашего основного скайпа через маркер пароля который пришел на его почту, маркер то ли остается такой же, то ли еще какая-то хитрость тут присутствует.

Proof-of-Concept ( копирайт forum.xeksec.com/f13/t68922/#post98725 )
1. Регистрируем новый скайп акк на мыло жертвы (там будет написано типа на это мыло уже кто-то зареген). Не обращаем внимания — заполняем дальше.
2. Логинимся в скайп клиент
3. Удаляем все куки, идём на login.skype.com/account/password-reset-request вбиваем мыло жертвы.
4. В скайп приходит уведомление

6. Переходим по ссылке и видим мыло жертвы и списки логинов зарегистрированных на это мыло. Свой логин тоже видим.
7. Выбираем логин жертвы и меняем пароль
8. PROFIT

На почте жертвы письма появляются примерно в такой последовательности(партнеры и знакомые прислали скриншоты своих почтовых ящиков после взлома):



И еще другие примеры:
http://screenshot.ru/html/11.14.12_01:53:00_d0de803b.html
http://screenshot.ru/html/11.14.12_01:52:44_ecfe3230.html
http://screenshot.ru/html/11.13.12_23:00:43_210be0fe.html
http://screenshot.ru/html/11.13.12_23:06:50_48247500.html
http://screenshot.ru/html/11.13.12_23:10:36_64dafe3f.html

Если Вам приходили подобные письма — повод насторожиться!

Единственный способ защититься на данный момент это зарегистрировать новый никому не известный e-mail адрес и сменить через сайт скайпа основной e-mail аккаунта на новый.
Внимание! Сменить через саму программу skype основной e-mail нельзя! Только через сайт!


UPD
Появился способ(PoC), как использовать уязвимость:
http://forum.xeksec.com/f13/t68922/#post98725

Отсюда

Официальный ответ администрации Skype в твиттере :

http://lenta.ru/news/2012/11/14/hack/ вот тут ещё по теме. В общем атеншн. Мошенники, кидалы и прочие упыри могут этим воспользоваться.

Moffo, ну "мошенники, кидалы и прочие упыри" три месяца как раз наоборот могли по-тихому пользоваться данной фишкой, пока информация об этой уязвимости в конце концоы не утекла в паблик. То что мы наблюдаем сейчас в данной истории-это один из лучших вариантов развития ситуации , который только может быть в ситуации когда три месяца компания Skype не реагирует на сообщения об уязвимости.

Если бы данная информация не утекла в паблик ,то я думаю мы бы ещё долго удивлялись участившимся кражам Skype-аккуантов и кидкам на тысячи долларов. А так - пошумели 12-15 часов, поменяли email адрес привязанный к логину Skype на более безопастный и разошлись.

Все уже почти исправили http://top.rbc.ru/society/14/11/2012/824993.shtml