Hoy TheHackerNews ha hecho pública una vulnerabilidad existente en el manejo de cookies que hacen Outlook y Hotmail además han puesto a disposición del que quiera una cuenta de Outlook con la que testear la vulnerabilidad.
El problema reside en que cuando un usuario hace logout en cualquiera de los dos servicios la cookie almacenada en el buscador no caduca, por lo que un atacante podría robar esa cookie de un ordenador que la víctima haya usado y reutilizarla posteriormente para tener acceso a dicha cuenta. Si bien es una vulnerabilidad limitada ya que requiere de acceso local al ordenador de la víctima, la gestión incorrecta de las cookies es algo que Microsoft debería de tener controlado.
En THN afirman que el problema fue reportado a Microsoft pero éstos cerraron el caso y no corrigieron el problema alegando que un atacante debería saber la contraseña para apoderarse de la cuenta totalmente.
Aquí tenéis un vídeo de la POC:
Fuente: The Hacker News
0 comentarios:
Publicar un comentario