Проблема с перехватом файлов cookie Outlook.com

Пользователи Outlook.com или hotmail.com, двух почтовых служб Microsoft, должны принять это к сведению. Информация хранится в файлах cookie, когда вы используете сайт, в том числе, успешно ли вы авторизовали свою учетную запись. Если информация доступна, вы можете открывать и закрывать обе службы без повторного входа в одну из них. Это замечательно, поскольку это удобно, но также проблематично, поскольку это означает, что кто-то другой может скопировать этот файл cookie из вашей системы для доступа к вашей учетной записи электронной почты в Интернете без повторной авторизации.

Это особенно беспокоит то, что выход из служб не делает недействительной информацию о сеансе, хранящуюся в cookie. Если кто-то экспортирует cookie, когда сеанс еще активен, он продолжает работать после того, как пользователь вышел из системы на ПК и аннулировал информацию сеанса, сохраненную в cookie.

Вот — беззвучное — демонстрационное видео, демонстрирующее, как это работает.

Обратите внимание, что исследователи используют две надстройки Cookie Importer и Cookie Exporter для веб-браузера Firefox для экспорта и импорта файлов cookie на лету.

Шаги по воспроизведению уязвимости, изложенные исследователями:

  1. Войдите в Outlook.com или Hotmail.com.
  2. Экспортируйте файл cookie, который создается в процессе, в вашу систему. Вы можете использовать для этого надстройку Firefox, другое расширение браузера или просто скопировать файл cookie вручную из каталога, в котором он был сохранен.
  3. Выйдите из Outlook или Hotmail.
  4. Импортируйте файл cookie в другой браузер, используя предлагаемое расширение Firefox, другую надстройку браузера или вручную скопировав его в нужный каталог.
  5. Загрузите веб-сайт outlook.com или hotmail.com. Вы должны заметить, что вы автоматически входите в систему благодаря ранее сохраненному cookie.

Microsoft отмечает, что для некоторых особо важных параметров на сайте требуется повторная авторизация. Это, например, случай, когда вы пытаетесь изменить пароль учетной записи. Однако злоумышленники могут читать и отправлять электронные письма, удалять электронные письма или использовать другую информацию, которая хранится в учетных записях электронной почты, например, сбрасывать пароли для онлайн-сервисов.

Теперь можно сказать, что для использования этой уязвимости требуется физический доступ к системе, и это определенно верно до определенного момента. Однако могут быть другие способы использовать это, например, через локальную сеть или с помощью вредоносного ПО, которое экспортирует файлы cookie сеанса и отправляет данные злоумышленнику.

Следует отметить, что это касается не только Microsoft. Google Диск например лица аналогичная проблема. Когда программное обеспечение запущено, вы можете щелкать ссылки, чтобы открыть учетную запись Google в Интернете без повторной аутентификации.

Сможете ли вы защитить свою учетную запись от этой атаки? На самом деле, нет. Почтовые программы могут помочь, но они могут быть доступны не во всех системах, с которыми вы работаете. (через)