Vulnerabilidades del IIS en passport (hotmail) y contraseñas de msn

[erickperez]

Saludos a todos !

Lei un tema de este foro un poco reciente que hablaba sobre como obtener contraseñas de msn, me parecen bien, pero lo es la respuesta a lo que busco, por lo que lei, se trata de un programa que tiene que aceptar y ejecutar la aplicacion la victima para que se ejecute, claro esta, una vez que una aplicación esta corriendo en la pc del cliente puedes hacer y controlar todo lo que quieras.

Pero cualquier persona con sentido comun de lo que es el internet no va aceptar y mucho menos ejecutar una aplicacion .exe, Tambien hay casos que en vez de enviarle un .exe a la victima lo obligas a entrar entrar a una pagina web con javascript mal intencionados aprovechandose de las vulnerabilidades del internet explorer que pueden ejecutar codigo y aplicaciones en la victima y obtener lo que quieres, en este caso el password de su msn, pero como habia mensionado anteriormente una persona con sentido comun sera muy precavida al momento de entrar a un link y no estara abriendo todos los link que le envien.

Hace un mes aproximadamente yo estaba online en el msn y un desconocido me envio un request para que lo aceptara en mi lista, y asi lo hice, yo le pregunte quien era y el solo me contesto "gracias por utilizar microsoft" y automaticamente mi msn se cerro, cuando fui entrar nuevamente pensando que era alguna inestabilidad en la red, al momento de firmarme me decia que mi contraseña estaba incorrecta, como me encontraba en el trabajo me sente en otra pc de un amigo que tenia su msn abierto y observaba mi nick todavia online, y le hable a la otra persona que estaba del otro lado logueado con mi cuenta de msn y me contesto, le pregunte por que lo hizo y como lo hizo, ya que yo no habia aceptado nada ni habia entrado a ninguna url, simplemente estaba trabajando, aquel me respondio que lo hizo porque yo tenia a su novia en mis contactos, y me dijo que leyera un poco mas sobre las vulnerabilidades del IIS, que el servidor del hotmail (passport) lo utiliza, y que el aprovechaba las verdaderas debilidades de seguridad de los sistemas para obtener lo que quiere y no perder el tiempo engañando personas para que caigan en una tonta trampa.

No se como lo hizo, y estoy muy seguro que no entre a ninguna direccion extraña o acepte algun programa para que el pudiera hacer eso, ya que una persona mas que estaban online en ese momento en mis contactos tambien le cambio su contraseña y nunca volvi a recuperarla. Las cuentas de hotmail son gratis, aveces pensamos que no es un delito tan grave ya que puedes sacarte otra y ya, pero en mi caso no fue asi ya que tenia unos cuatro años utilizando el servicio y tenia una gran cantidad de personas en mis contactos que mas nunca he podido contactar. Desde entonces he estado leyendo mucho sobre las vulnerabilidades del IIS y he probado algunos exploit, pero nada que me lleve a la verdad de lo que pudo suceder.

Alguien tiene alguna explicacion de lo que pudo hacer esta persona realmente ?

Gracias

[TseTse]

A mí me huele a fantsamada, eso de los Unicodes al passport y a hotmail hace muchísimo tiempo.... Es cierto que los IIS tienen muchas vulnerabilidades pero tan rápido como salen nuevas parchean los servers. Tal vez en el bloque de red de los servidores de hotmail existe un host con el IIS y que tenga una vulnerabilidad, pero es muy poco probable a estas alturas.
Además, recientemente cambiaron el sistema Passport de hotmail ¿no?.

TseTse

[lupillo]

Ahhhh cabron!!!!!

Pues yo la verdad es la primera ves que se de alguien que robe una contraseña de manera tan "simple" y rapida.

Solo que haya aprovechado algun hoyo, pero esos "hoyos" por lo regular los reparan el mismo dia, y aun utilizando un hoyo no es tan sencillo.

Es interesante abra que investigar.

hay que ver el lado bueno de saber el metodo que utilizo esta persona se acabarian las preguntas y post's de hotmail.

[TseTse]

Pues yo la verdad es la primera ves que se de alguien que robe una contraseña de manera tan "simple" y rapida.

La que el comenta no es simple no muchísmo menos.... Las hay más simples y rápidas, menos de 10 segundos en hacerte con ua cuenta sin ingenieria social

TseTse

[erickperez]

TseTse a que te refieres con fantasmada ? que no es algo real lo que sucedio... ?

De algo si estoy convencido es de lo que paso, tal vez aquella persona realmente no hizo nada con las vulnerabilidades del iis, tal vez lo dijo para confundirme.

Y sobre lo que dijo lupillo "los hoyos", pues hotmail como empresa tiene millones de usuario no puede darse el lujo de bajar sus servidores para corregir algun hoyo que seria necesario reiniciar el iis o parcheando alguna nueva vulnerabilidad nueva del iis, ya que cada segundo offline son millones de dolares como perdida, y cuando hay dinero de por medio las cosas son diferente para microsoft, asi que cualquier nueva vulnerabilidad presentada en su ingenioso coladero llamado IIS te aseguraria que ellos no serian los primeros en protegerse.

[SHOT_GT]

Ok a mi manera de pensar yo mas creo que el te tenia trabajado dias atras y ni cuenta te habias dado, para mi que el ya tenia tu pass desde hace tiempo y solamente espero a que lo aceptaras para quedar el como un master en la materia, y te menciono lo de la vulnerabilidad del IIS solamente para distraer tu atención, ok mas sencillo, el ya tenia tu pass, el se encontraba ya en las opciones de correo ya te habia cambiado palabra clave, pais etc, solo en la ventana del pass esperando a que tu lo aceptaras, para cuando tu lo aceptaste en tu msn el tambien le dio aceptar a tu cambio de contraseña y sencillo saliste te dijo lo de las vulnerabilidades del ISS con el objetivo de desviar tu atencion, por eso no solo te dejes guiar con el ultimo momento si no que hace recopilación de datos de dias anteriores puede que tambien sean muy anteriores, asi que suerte, y mas ojo para la proxima.

Un saludo a todos los de este foro soy nuevo en estar posteando pero siempre los me leido este foro muy bueno.

[lupillo]

Pues yo la verdad no tengo ni p*ta idea de como esta persona pudo robarle su MSN a Erick con tan solo enviarle un mensaje, ojala Tse Tse nos puedas explicar un poco mejor el metodo que siguio esta persona.

[TseTse]

A ver, yo no te estoy diciendo que lo que dices sea mentira. Es como el que dice que ha visto un ovni, el ha podido ver 'algo' pero no tenia porque ser un ovni precismante sino otra cosa que el se pensó o le indujeron a pensar que era un ovni.
Para profundizar más en el asunto necesito situarme, ya que aunque un servidor de hotmail tuviera en aquel momento alguna vulnerabilidad, no sería fácil cerrarte a tí el msn y cambiarte el password en el mismo instante.
¿Cuanto tiempo hace de eso?
¿Qué versión de MSN tenias?
¿Que Windows tenias?
¿Le habias aplicado actualizaciones de seguridad a tu Windows?
¿Salias a través de una red LAN y la IP pública, estaba direccionada a tu equipo?
¿Terceras personas podrían haber tenido acceso físico a tu ordenador?
¿Realizaste una auditoria post-mortem de ese equipo en busca de troyanos y cualquier otro servicio vulenrable como NetBIOS?
Intenta ser PRECISO en las respuestas y seguro que llegamos al click del misterio.

TseTse

[SHOT_GT]

Tse Tse tiene razon este tipejo lo que te hiso fue todo a base de ingenieria social el ya te tenia trabajado dias atras sin tu darte cuenta y a base de ingenieria social te desvio completamente saliendo el galopando en caballo blanco quedando ante ti como un master

[erickperez]

Bueno, pudo ser que tenia mi password desde hace un tiempo... pero donde dejas a la otra persona que estaba hablando conmigo antes de que el me agregara, la misma persona le cambio su password.

No puedo creer que tambien tenia su password desde hace dias y casualmente se percato que los dos estabamos online en msn y nos cambio la clave, seria demasiada casualidad !

Pienso que existen tecnicas y vulnerabilidades demasiadas underground para llegar al publico tan facil, habia que escudriñar demasiado la red para encontrar algo que se le paresca.

"Hotmail utiliza Freebsd, hace un wine con un emulador de sql para sus consultas a la informaciones desplegadas, y el iis tiene 10 vulnerabilidades principales entre ellas los overflow de las funciones en la ISAPI"... estas y otras pocas cosas mas fue la que esta persona (la que me cambio la contraseña) me mensiono antes de verlo por ultima loguiado en mi cuenta cuando estaba hablanco con él en la pc de otra persona que me tenia en su lista de contactos. Despues que se desconecto pase una semana investigando y todo lo que me dijo era cierto, es decir, que era una persona muy bien informada sobre el asunto y habia leido bastante, no creo que era un falsante... Pero quien sabe, no quiero asegurar nada.

TseTse aqui tienes tus respuestas:

¿Cuanto tiempo hace de eso?
Hace un mes exactamente, algo reciente !!!!

¿Qué versión de MSN tenias?
La version 4.6, la version corriente

¿Que Windows tenias?
windows 2000

¿Le habias aplicado actualizaciones de seguridad a tu Windows?
Todas las seguridades y parches que conosco para mi sistema operativo, todo paso en mi trabajo, trabajo en el departamento de informatica, seguridad es lo que sobra.

¿Salias a través de una red LAN y la IP pública, estaba direccionada a tu equipo?
Es una red con firewar, utilizando el ISA server proxy.

¿Terceras personas podrían haber tenido acceso físico a tu ordenador?
Solo yo utilizo mi equipo, es un posicion fija que tengo asignada.

¿Realizaste una auditoria post-mortem de ese equipo en busca de troyanos y cualquier otro servicio vulenrable como NetBIOS?
Tenemos en la compañia el norton antivirus client/server version 7.51, con sus archivos de deficiones de virus al dia, cualquier troyano o algo sospechoso es detectado automaticamente, dudo la posibilidad de troyano

Las respuestas a tus preguntas me hacen pensar que lo que haya hecho no fue por medio de mi.

[SHOT_GT]

Erick hoy si lo explicaste bien y se nota que si no era tan farsante como parece ese tipo y de que si sabes del tema pues la seguridad en tu maquina esta bien y todo esta restringido a una "vulnerabilidad" lo malo es que ahora si me dejaste con duda que conteste Tse Tse

[TseTse]

Si es algo reciente a un mes, te puedo decir que vulnerabilidades contra los IIS de Microsoft de los últimos dos meses, no tengo constancia en ningun correo, procedente de ninguna lista de correo que afecte a los IIS. Aparte de esta:
Multiple Vendor Invalid X.509 Certificate Chain Vulnerability

Vámos, que él 'hackeara' un servidor Passport de hotmail usando bugs del IIS de los dos últimos meses, y a través de estas vulnerabilidades te cerrara tu sesión y en el mismo instante te cambiara la contraseña de acceso a tí, y despues a tu amigo. Es técnicamente improbable.
Aquí, pueden pasar varias cosas:
- Que realmente sea cierto, cosa que escapa de mis limitados conocimientos.
- Que la história que cuentas sea mentira, y tu objetivo sea el de que te digan alguna forma fácil de conseguir los passwords de cuentas hotmail.
- Que la história sea cierta, pero lo que él te dijo era mentira. O lo que es lo mismo, explotó otra vulnerabilidad o contra hotmail o contra tí. Yo me inclino por 'la explotó contra tí'.

Para esa versión de MSN existen vulnerbailidades:
Microsoft MSN Chat Control Remote Buffer Overflow Vulnerability
Microsoft MSN Messenger Malformed Invite Request Denial of Service
Microsoft MSN Messenger Font Tag Denial Of Service Vulnerability
Microsoft MSN Messenger Message Spoofing Vulnerability

Sobre tu comentario de 'seguridad es lo que sobra', no sabes que equivocado estás. ¿Crees realmente que un Firewall te protege al 100%? He montado 'Dumps' en Servidores que tenian Firewalls y me los he pasado por el forro. Ni se han inmutado, ni me han bloqueado ningún acceso.

Aún así, te insto a que expongas ese problema en la lista de seguridad que corresponda de securityfocus.org, allí hay gente técnicamente más cualificada que yo para rosolverte la duda. Yo me planto y me quedo con las 3 teorías que comento más arriba. Siento no poder serte de más ayuda.

TseTse

[erickperez]

Gracias por responder !

Mi finalidad con este tema solo eran dos:

1. La primera y por lo que veo la que nunca iba a obtener, era la posibilidad de que alguien tuviera conocimiento de una posible vulnerabilidad del IIS o por lo menos algun metodo por otra via en que se pudo hacer.

2. La posibilidad de que alguien conociera al invidivio o que le haya pasado lo mismo para compartir experiencia y de alguna forma sacarle provecho a este suceso a pesar del gran problema que es, ya que existen personas navegando que tienen la capacidad de hacer estas cosas y a cualquiera le puede pasar.

Sobre la seguridad tienes mucha razon, no hay seguridad 100% segura, pero me referi a que por lo menos todo lo "que yo conosco" como parches y protecciones las tengo para mi sistema operativo y de igual manera para el firewall. Sobre las vulnerabilidades que existen para mi version de msn, tengo conocimiento que lo que mas hacen es cerrarte el msn, robar lista de contactos, etc... pero, ¿robar contraseñas?

No me quedara mas que seguir investigando...

[fermarlop]

Escrito originalmente por erickperez
Saludos a todos !

Lei un tema de este foro un poco reciente que hablaba sobre como obtener contraseñas de msn, me parecen bien, pero lo es la respuesta a lo que busco, por lo que lei, se trata de un programa que tiene que aceptar y ejecutar la aplicacion la victima para que se ejecute, claro esta, una vez que una aplicación esta corriendo en la pc del cliente puedes hacer y controlar todo lo que quieras.

Pero cualquier persona con sentido comun de lo que es el internet no va aceptar y mucho menos ejecutar una aplicacion .exe, Tambien hay casos que en vez de enviarle un .exe a la victima lo obligas a entrar entrar a una pagina web con javascript mal intencionados aprovechandose de las vulnerabilidades del internet explorer que pueden ejecutar codigo y aplicaciones en la victima y obtener lo que quieres, en este caso el password de su msn, pero como habia mensionado anteriormente una persona con sentido comun sera muy precavida al momento de entrar a un link y no estara abriendo todos los link que le envien.

Hace un mes aproximadamente yo estaba online en el msn y un desconocido me envio un request para que lo aceptara en mi lista, y asi lo hice, yo le pregunte quien era y el solo me contesto "gracias por utilizar microsoft" y automaticamente mi msn se cerro, cuando fui entrar nuevamente pensando que era alguna inestabilidad en la red, al momento de firmarme me decia que mi contraseña estaba incorrecta, como me encontraba en el trabajo me sente en otra pc de un amigo que tenia su msn abierto y observaba mi nick todavia online, y le hable a la otra persona que estaba del otro lado logueado con mi cuenta de msn y me contesto, le pregunte por que lo hizo y como lo hizo, ya que yo no habia aceptado nada ni habia entrado a ninguna url, simplemente estaba trabajando, aquel me respondio que lo hizo porque yo tenia a su novia en mis contactos, y me dijo que leyera un poco mas sobre las vulnerabilidades del IIS, que el servidor del hotmail (passport) lo utiliza, y que el aprovechaba las verdaderas debilidades de seguridad de los sistemas para obtener lo que quiere y no perder el tiempo engañando personas para que caigan en una tonta trampa.

No se como lo hizo, y estoy muy seguro que no entre a ninguna direccion extraña o acepte algun programa para que el pudiera hacer eso, ya que una persona mas que estaban online en ese momento en mis contactos tambien le cambio su contraseña y nunca volvi a recuperarla. Las cuentas de hotmail son gratis, aveces pensamos que no es un delito tan grave ya que puedes sacarte otra y ya, pero en mi caso no fue asi ya que tenia unos cuatro años utilizando el servicio y tenia una gran cantidad de personas en mis contactos que mas nunca he podido contactar. Desde entonces he estado leyendo mucho sobre las vulnerabilidades del IIS y he probado algunos exploit, pero nada que me lleve a la verdad de lo que pudo suceder.

Alguien tiene alguna explicacion de lo que pudo hacer esta persona realmente ?

Gracias

------------------------------------------------------------------------------------

esta muy bueno tu post primero porke a mi me lo hicieron y doy fe del hecho
y segundo porque evidentemente hay otras tecnicas mas sensillas que un xploit o mandar un adjunto..pura ingenieria ke da resultados..pero
en verdad que habria ke releer todo lo que te dijo ese chavo pues esa tecnica no la conosco por lo menos io

saludos

[fermarlop]

Escrito originalmente por TseTse
Si es algo reciente a un mes, te puedo decir que vulnerabilidades contra los IIS de Microsoft de los últimos dos meses, no tengo constancia en ningun correo, procedente de ninguna lista de correo que afecte a los IIS. Aparte de esta:
Multiple Vendor Invalid X.509 Certificate Chain Vulnerability

Vámos, que él 'hackeara' un servidor Passport de hotmail usando bugs del IIS de los dos últimos meses, y a través de estas vulnerabilidades te cerrara tu sesión y en el mismo instante te cambiara la contraseña de acceso a tí, y despues a tu amigo. Es técnicamente improbable.
Aquí, pueden pasar varias cosas:
- Que realmente sea cierto, cosa que escapa de mis limitados conocimientos.
- Que la história que cuentas sea mentira, y tu objetivo sea el de que te digan alguna forma fácil de conseguir los passwords de cuentas hotmail.
- Que la história sea cierta, pero lo que él te dijo era mentira. O lo que es lo mismo, explotó otra vulnerabilidad o contra hotmail o contra tí. Yo me inclino por 'la explotó contra tí'.

Para esa versión de MSN existen vulnerbailidades:
Microsoft MSN Chat Control Remote Buffer Overflow Vulnerability
Microsoft MSN Messenger Malformed Invite Request Denial of Service
Microsoft MSN Messenger Font Tag Denial Of Service Vulnerability
Microsoft MSN Messenger Message Spoofing Vulnerability

Sobre tu comentario de 'seguridad es lo que sobra', no sabes que equivocado estás. ¿Crees realmente que un Firewall te protege al 100%? He montado 'Dumps' en Servidores que tenian Firewalls y me los he pasado por el forro. Ni se han inmutado, ni me han bloqueado ningún acceso.

Aún así, te insto a que expongas ese problema en la lista de seguridad que corresponda de securityfocus.org, allí hay gente técnicamente más cualificada que yo para rosolverte la duda. Yo me planto y me quedo con las 3 teorías que comento más arriba. Siento no poder serte de más ayuda.

TseTse

--------------------------------------------------------------------------------
me inclinaria siempre a tu primera conclusion por puro gusto nomas
pues lo demas lo conocemos
setear mal un firewall o tener nada parcheado nuestro sistema o
la mas facil tener un mail [email protected] y poner de pass
cachojuan o juan cacho hehehehe
pero a mi me lo hicieron y habia buscado mil respuestas a la pregunta de como me lo hicieron??

mi mail esta activo no se kien lo tiene
mi sistema si bien no dare fe ke esta recontra seteado a mil ptas
sabiendo ke lo usan mis hijos y descartando que habia io dado a un amigo un script con inis pa mirc donde mi nick tenia el mismo pass ke mi mail y descartandolo digo pos el pake me va a cambiar el pass??

pake??

descartando ademas ke sabiendo lo ke me vas a decir del cache de pass ke keda logueado en el sistema lo limpio con stenografia

me inclino a pensar que hay una nueva tecnica--que desconosco por lo menos de mi parte...



saludos

p/d:es tan viejo mi mail que a la pregunta no se que corno le puse hehehehe

[fermarlop]

pasa que me olvide de decir algo mas..a tener en cuenta

hay tantas cosas en la red "interezantes" por decirlo de alguna manera
que aveces uno (y podria ser la respuesta a mi pregunta del como me lo hicieron)navega por cada pagina que madre de dios
y aunke usemos un sistema recontraparchedo(no uso firewall lo que hago es encriptar totalmente mi disco y crear una unidad virtual para posibles "visistantes"..prefiero que entren y no vean nada a matarme con ptos firewalls) decia ke aunke lo usemos nos olvidamos de los aplet java seria una respuesta-.ademas tecnicas under como camera shy o peekabooty todavia en pañales , hacen que uno utilice el explorer aveces( lean este articulo esta completito http://webs.ono.com/usr016/Agika/Hotmail.htm)

hay paginas que realmente matan al mas cauto salvo que uno sea una makinita (ni aun asi) estas lo mas bien navegando por una pagina de relativa confianza y te revientan con un aplet de puro nomas,,,,

no recuerdo bien hoy de ke pagina era pero lo que si recuerdo que era una pagina de relativa confianza y note algo extraño

al cambiar a sitio seguro de dicha pagina me aparecio la ventanita de mi hotmail igual igual a la del xmass
por supu no puse el pass que tenia logueado en mi mennsseger
pero me parecio extraño ya que no indague lo deje pasar
(para los que no entienden de que hablo cuando tu logueas una cuenta de hotmail te habre el memsseger si kieres lo logueas tambien
asi habres tu lista de contacto
si kieres loguear otra cuenta debes desloguear la otra cuenta que tenias antes en mensseger asi etc)

ojo no sera que estan aprovechando esa falla?

saludos

tengo mas dudas que certezas en este tema

<avisen cualkier cosa che NO ME DEJEN AFUERA!! heheheh

[Smooke_1]

yo solo digo una cosa " nada es imposible ......solo hay hombres incapaces"
lo que si dudo es que te alla sacado la pass con tu solo responder un mensaje .
Ah y otra pregunta como sabia el que tu tenias en tu lista a ssu novia?

[fermarlop]

espero que alguien me responda a estas dudas.....

respondiendo al ke escribio este post originalmentete diria que tambien habria ke tomar en cuenta mucho el tema de los pass

aveces uno usa el mismo pass para diferentes servicios
para facilitar la tarea

por ahi te cuidas mucho con algunas aplicaciones y descuidas otras que para ti no son importantes
el mirc es una aplicacion a tener cuidado y a darle importancia

el tema de las claves es muy importante
aveces uno usa una calve buena alfanumerica de mas de 60 bits

pero lo utiliza para diferentes servicios como loguearte en la red etc etc etc y por ahi lo usas en mirc o msn ojo al parche ojo

busca en google sobre estadisticas de como generamos mentalmente nuestros pass
y quisas este ahi la respuesta

saludos

[TseTse]

fermarlop,

No he entendido bien lo que dices, a ver, dices que te cambiaron la contraseña pero ¿tu no recibiste pseudo-exploits ni nada? Entonces estoy convencido al 99'9% de que fué por la pregunta y respuesta secreta.

TseTse

[fermarlop]

[Ah y otra pregunta como sabia el que tu tenias en tu lista a ssu novia? [/B][/QUOTE]
---------------
se se se asi es ing.social pura en este caso=)

saludos