Порочная связь уязвимость в Skype позволяет получить доступ к любому аккаунту, привязанному к, как защититься от блокировки skype.

как защититься от блокировки skype

Порочная связь уязвимость в Skype позволяет получить доступ к любому аккаунту, привязанному к

Оглавление (нажмите, чтобы открыть):

Злоумышленники могут получить доступ к любой учетной записи Skype

При помощи системы восстановления пароля злоумышленники могут получать доступ к учетным записям пользователей.

Эксперты безопасности отмечают, что, несмотря на совершенствование защиты в киберпространстве и улучшение антивирусных продуктов, социальная инженерия продолжает процветать. Так, исследователь DarkCoderSc Жан-Пьер Лесюер (Jean-Pierre Lesueur) рассказал о том, как, используя социальную инженерию, злоумышленники могут получать доступ практически к любой учетной записи Skype при помощи системы восстановления пароля.

Для того, чтобы получить новый пароль, пользователь обращается в службу поддержки Skype с соответствующим запросом, после чего должен подтвердить, что учетная запись принадлежит именно ему, предоставив для этого пять аккаунтов из списка контактов. Злоумышленникам достаточно добавить пять временных поддельных учетных записей, чтобы получить пароль. Еще проще спросить у самого владельца учетной записи, с кем он общается в Skype.

Лесюер подчеркнул, что служба поддержки Skype должна предпринять соответствующие меры для того, чтобы обезопасить своих пользователей. «В настоящее время, кажется, что она /служба поддержки/ не особо заботится о своих клиентах» — заявил исследователь.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Аккаунт Skype легко взломать. Как защититься от этого?

В последние недели многие пользователи Skype получают от своих контактов в переписке спамерские ссылки на сайты Baidu и LinkedIn. Как выяснил сайт The Verge, такие ссылки приходят даже от сотрудников Microsoft, причём те не даже догадываются, что их взломали. Что происходит и почему Microsoft позволяет такое?

Судя по ветке с сайта техподдержки Microsoft, с августа 2020 года было взломано несколько сотен аккаунтов Skype, в том числе защищённые двухфакторной аутентификацией. Такие аккаунты рассылают тысячи спам-сообщений своим контактам. Компания Microsoft признала существование проблемы, но всё ещё не знает, как её решить. По словам Microsoft, со стороны Skype не наблюдается уязвимостей, а киберпреступники каким-то образом получают действующие пары логинов и паролей.

Многие пользователи Skype полагают, что их учётные записи надёжно защищены двухфакторной аутентификацией, но на деле это не так.

Том Уоррен с The Verge обсудил эту ситуацию с сотрудником Microsoft, чей аккаунт недавно был взломан, хотя и был защищён двухфакторной аутентификацией. По его словам, хакеры воспользовались комбинацией парой логина и пароля, не привязанной к аккаунту Microsoft. Компания просила пользователей Skype привязать свои учётные записи к аккаунту Microsoft, но даже это не защищает от взлома, потому что прежние реквизиты для входа продолжают действовать.

Очевидно, где-то произошла утечка реквизитов от учётных записей Skype, и именно поэтому компания попросила пользователей привязать к мессенджеру аккаунты Microsoft. Пока Microsoft разбирается с тем, что произошло, защитить аккаунт Skype можно следующим образом:

— Зайдите на страницу https://account.microsoft.com. Если вы залогинены в аккаунт Microsoft, выйдите из него.
— Зайдите в аккаунт Skype (используя логин и пароль от Skype, а не Microsoft).
— Объедините аккаунты Skype и Microsoft.
— Зайдите в настройки учётных записей и деактивируйте аккаунт Skype.

Теперь залогиниться в учётную запись Skype можно будет только с аккаунтом Microsoft, которая защищена гораздо надёжнее, чем аккаунт Skype. Кроме того, аккаунт Microsoft поддерживает полноценную двухфакторную аутентификацию, поэтому его гораздо сложнее взломать.

Новый способ блокировки любого Skype аккаунта

На себе испытали очередной способ блокировки аккаунтов Skype (уже заблокированы 3 наших аккаунта). Способ очень похож на этот. Различие состоит лишь в том, что коллективный abuse report от конкурентов-злодеев очень правдоподобен в глазах саппорта Skype.

Механика довольно простая. Злоумышленник ждет когда вы будете в offline. И добавляет вас в 4 групповых чата, в каждом по 10-15 подставных скайп-аккаунтов. Все они пишут мат, всякую чернуху, после чего все эти аккаунты уходят в оффлайн. В нашем случае в оффлайн они ушли на 4 месяца.
Сегодня эти аккаунты вышли в сеть, и мы с ужасом увидели как на наших аккаунтах подгружаются эти групповые чаты «из прошлого». После чего с этих аккаунтов осуществляется жалоба на наш аккаунт, и он в течение часа уходит в бан.

Разговоры в чате с тех-поддержкой напоминают цирк. «Мы вам поможем», а через 5 минут «Ой, вы нарушили 11.2 Terms of Use, мы не можем ничего с этим поделать, как бы нам не было жаль вам это сообщить.»
Никакие скриншоты необъяснимо появившихся из прошлого групповых разговоров, никакие объяснения, что это возможно абуз «абуз репорта» — ничего не помогает.
Остается лишь наблюдать за строгими ответами от саппорта Скайпа.

• Вопрос задан более трёх лет назад


• 23057 просмотров

Каким образом можно создать корпоративный аккаунт и сколько это стоит? Дайте пожалуйста ссылку. На официальном сайте найти с первого раза не удалось.

К слову, на блокированном аккаунте был активен Skype Premium. Это никак не помогло в разговоре с техподдержкой. Которая, тоже к слову сказать, слегка неадекватна.

Многие люди заблуждаются о причинах блокировки аккаунтов майкрософт/скайп.
Для примера опишу свой случай.

Я не пользовался скайпом лет наверное 5.
2 недели назад я специально создал новую учетку в почте yahoo.
Используя эту учетку создал новый скайп аккаунт. Не хотел пользоваться старым скайп аккаутом, он был для друзей, а новый я сделал для использования на работе.
Зашел я в новый аккаунт, посмотрел настройки и вышел.
У меня там нет ни одного контакта, я не отправил ни одного сообщения, не сделал ни одного голосового вызова. Просто вошел и вышел. Естественно когда нужно было подтвердить почту, я это сделал.
Это имя/id/email скайпа я нигде не публиковал и никому не сообщал. Кроме меня никто не знает об этой учетке.

А сейчас (спустя 2 недели) я впервые решил воспользоваться этой учеткой, попытался войти в скайп, а оно меня не пускает, по причине:
Something went wrong.
There is a problem with your Microsoft account. To fix this, sign in to account.live.com from a browser.

Тогда я попытался войти в свою учетку на account.live.com , то оно мне написало:
Your account has been locked.
We’ve detected some activity that violates our Microsoft Services Agreement and have locked your account.

Добавлю, что я никогда не ошибаюсь в логинах и паролях, всегда ввожу правильно с первого раза, т.к. никогда не запоминаю их на память, всегда записываю в комп. Комп мой никто не ломал. Линуксовые компы пока что мало интересуют хакеров. К тому же мой комп трудно взломать. Я имею опыт защиты линукс систем, в т.ч. предоставляющих сервисы в интернет. А мой домашний комп даже не имеет внешнего айпи. И к тому же при настройке компа я сразу проверяю активные сетевые службы, вырубаю лишнее, при необходимости настраиваю файрвол. Пользуюсь только софтом из стандартных репозиториев дебиана. А если приходится использовать сторонние программы из недоверенных источников, то запускаю их во временных виртуалках (клонирую их за несколько минут), которые потом удаляю вместе с их образом на диске.
В общем я уверен на 99.9%, что моей новой учёткой никто не пользовался всё это время (две недели).
Поскольку я недоверяю скайпу, считаю его шпионской программой, то я устанавливал его внутри виртуальной машины. Виртуальную машину сделал специально для скайпа, и не включал виртуалку две недели.

Как-то на ресурсе LOR, я читал о методах изоляции скайпа. Там один человек высказал мысль, что не стоит изолировать проприетарщину типа скайп, создавая ему явно искусственное окружение (типа chroot, контексты, и т.д.), а лучше чтобы это выглядело естественно (например виртуальные машины), так будет меньше вероятность оказаться забаненым. Кто-то над ним посмеялся, а кто-то плюсанул. Но мне и виртуалка не помогла.

Многие думают, что майкрософт банит только спамеров, матершинников, или тех, кого недоброжелатели решили забанить при помощи жалоб или другими хитрыми способами.

Но, оказалось, что забанить могут практически без повода. Неблагоприятные факторы в том числе следующие: проживание в России (санкции), использование линукс, изоляция скайпа от основной операционной системы, чтобы скайп не сливал ваши данные майкрософту (а значит и спецслужбам).

В Skype обнаружена уязвимость, позволяющая взломать чужой аккаунт

МОСКВА, 14 ноя — РИА Новости. Уязвимость в популярном сервисе интернет-телефонии Skype, позволяющая «угнать» чужой аккаунт, зная лишь ассоциированный с ним адрес электронной почты, вызвала бурное обсуждение в соцсетях и на интернет-форумах в среду.

Российские пользователи Skype жалуются на массовое похищение аккаунтов. О взломе своего Skype-аккаунта в частности сообщил популярный блогер Антон Носик, медиадиректор компании SUP Media, владеющей сервисом LiveJournal.

Уязвимость в механизме восстановления пароля позволяет злоумышленнику, знающему адрес электронной почты, на который зарегистрирована учетная запись жертвы в Skype, произвольно менять пароль и как следствие получить доступ к аккаунту.

Как удалось выяснить корреспондентам РИА Новости, описанный на интернет-форумах способ взлома работает и не требует от взломщика специальных навыков.

«Skype в курсе и сейчас изучает данную проблему», — сообщила РИА Новости представитель пресс-службы Skype.

РИА Новости пока не располагает комментарием корпорации Microsoft, которой принадлежит сервис Skype.

Алгоритм взлома предусматривает регистрацию злоумышленником новой учетной записи в Skype на электронный адрес жертвы. После регистрации и нескольких несложных процедур, взломщику достаточно воспользоваться сервисом восстановления паролей, чтобы получить доступ к списку всех аккаунтов, зарегистрированных на адрес жертвы и сменить в них пароли.

Для снижения риска взлома Skype-аккаунта пользователям рекомендуется поменять адрес электронной почты, на который зарегистрирована их учетная запись, на новый email и держать его в тайне.

Впервые данный способ взлома был опубликован ранее на этой неделе на хакерском форуме Xeksec, который по состоянию на 10.20 мск среды недоступен. Однако информация успела распространиться по другим интернет-ресурсам.

По данным с форума техподдержки Community.skype.com, данные об уязвимости были впервые опубликованы еще в июле текущего года, однако до сих пор она не была исправлена.

Компания Skype была основана в 2003 году. Число зарегистрированных пользователей сервиса превышает 500 миллионов человек, а его ежемесячная аудитория достигает 170 миллионов пользователей. Для работы с сервисом существуют клиентские программы для большинства распространенных настольных и мобильных операционных систем. В 2011 году корпорация Microsoft приобрела Skype за 8,5 миллиарда долларов.

Уязвимость в Skype позволяет «увести» любой аккаунт

В сервисе VoIP-телефонии Skype найдена серьезная уязвимость, которая позволяет взломать любой аккаунт. Для этого достаточно лишь знать электронный адрес жертвы. Таким способом была «угнана» учетная запись оппозиционера Алексея Навального. Также от взлома пострадали блогер Илья Варламов и медиадиректор SUP Media (компания-владелец ЖЖ) Антон Носик.

«Дыра» позволяет получить доступ только к самому аккаунту и списку контактов в Skype, но не к переписке или почте. Инструкция по взлому описывается на форуме XekSec. Для начала требуется зарегистрировать на почту жертвы новый аккаунт в Skype. Технически это можно сделать, несмотря на предупреждения.

Затем нужно войти в только что созданный профиль и указать адрес своей почты в качестве дополнительного. Далее, войдя в клиент Skype, необходимо удалить все cookie-файлы, после чего зайти на страницу восстановления пароля и указать почту жертвы.

После этого, не выходя из клиента, требуется дождаться уведомления с маркером пароля. В нем будет указана ссылка с временным кодом, при помощи которого можно поменять пароль. К этому времени перейти по ссылке уже нельзя: администрация Skype временно отключила функцию восстановления паролей.

Эти действия не останутся незамеченными: на почту жертвы придет письмо о том, что пароль его к аккаунту в Skype был изменен. Единственный способ уберечься от взлома заключается в том, чтобы перерегистрировать свой аккаунт на новый адрес электронной почты, который никому не известен. Это можно сделать на сайте Skype.

Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN.

Web Proxy Auto-Discovery Protocol (WPAD) — это протокол автоматической настройки прокси, который используется клиентами (браузером) для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. При совершении запроса браузером вызывается функция FindProxyForURL из PAC-файла, куда передается URL и хост. Ожидаемый ответ — список прокси, через которые будет осуществляться выход на этот адрес.

WPAD включен по умолчанию в Windows, поддерживается он и другими операционными системами. Но этот протокол подвержен ряду уязвимостей, что показали специалисты по информационной безопасности Алекс Чапман (Alex Chapman) и Пол Стоун (Paul Stone) на Defcon. Злоумышленники, используя эти уязвимости, могут получить данные жертвы (история поиска, доступы к аккаунтам, фото, документы и т.п.), несмотря на HTTPS или VPS соединения. Тип атаки, который применяется в этом случае — man-in-the-middle.

Размещение конфигурационного PAC-файла можно определить с использованием Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS) или Link-Local Multicast Name Resolution (LLMNR). Киберпреступники при желании могут использовать уязвимость в WPAD, указав размещение специально сконфигурированного PAC-файла, который направит запрос браузера через прокси-серверы, находящиеся под контролем злоумышленников. Этого можно добиться в открытой беспроводной сети, скомпрометировав роутер или точку доступа, либо открыв для всех желающих доступ к собственной точке доступа, сконфигурированной должным образом.

Компрометировать собственную сеть атакуемого ПК не обязательно, поскольку система будет использовать WPAD для обнаружения прокси в случае подключения по открытой беспроводной сети. При этом WPAD используется и в корпоративном окружении, эта опция включена по умолчанию на всех Windows-ПК, как уже говорилось выше.

Собственный прокси-сервер позволяет злоумышленникам перехватывать и модифицировать незашифрованный HTTP-трафик. Это не дает слишком многое киберпреступникам, поскольку большинство сайтов сейчас работает по HTTPS (HTTP Secure). Но, поскольку PAC-файлы обеспечивают возможность задавать различные адреса прокси для определенных веб-адресов, и для этих адресов можно принудительно выставить DNS lookup, хакеры-«белошляпники» создали скрипт, который позволяет получать все защищенные HTTPS URL на собственный сервер.

Полный адрес HTTPS URL должны быть скрыт, поскольку он содержит токены аутентификации и другую частную информацию. Но злоумышленник может восстановить адрес. Например, example.com/login?authtoken=ABC1234 может быть восстановлен путем использования DNS-запроса https.example.com.login.authtoken.ABC1234.leak и восстановлен на сервере киберпреступника.

Используя такой метод, атакующий может получить список поисковых запросов жертвы или просмотреть, какие статьи определенного ресурса жертва сейчас читает. Это не слишком хорошо с точки зрения информационной безопасности, но вроде бы не слишком опасно. Правда, неприятности жертвы на этом и не заканчиваются.

Исследователи разработали еще один тип атаки, который может использоваться для перенаправления пользователя открытой беспроводной точки доступа на фейковую страницу точи доступа. Многие беспроводные сети собирают данные о пользователях при помощи специальных страниц. После ввода своих данных пользователь получает доступ к интернету (часто такая схема используется провайдерами беспроводной связи в аэропортах).

Страница, сформированная злоумышленниками, загружает в фоне привычные пользователю Facebook или Google, а затем выполняет 302 HTTP редирект на другие URL при условии аутентификации пользователя. Если пользователь уже вошел в свою учетную запись, а большинство людей не выходят из своих учетных записей на различных ресурсах, работая со своего ПК или ноутбука, то мошенник может получить идентификационные данные жертвы.

Это касается учетных записей на самых разных ресурсах, причем по прямым ссылкам злоумышленник может получить доступ к личным фото жертвы, равно, как и другим данным. Злоумышленники могут похищать и токены для популярного протокола OAuth, который позволяет логиниться на различных сайтах, используя данные своего Facebook, Google или Twitter аккаунта.

Возможности нового метода специалисты показали на Defcon. Используя свою технологию, эксперты получили доступ к фото жертвы, истории координат, напоминаниям календаря и данных профиля аккаунта Google, а также доступ ко всем документам жертвы на Google Drive. Здесь стоит подчеркнуть, что атака не затрагивает HTTPS-шифрование, данные по-прежнему защищены. Но если в ОС включен WPAD, то HTTPS уже гораздо менее эффективен в плане защиты приватных данных пользователя. И это также касается информации тех пользователей, кто работает c VPN. WPAD позволяет получить доступ и к этим данным.

Все дело в том, что популярные VPN-клиенты, вроде OpenVPN, не очищают сетевые настройки, заданные WPAD. Это означает, что если атакующему уже удалось установить на ПК жертвы свои настройки прокси, прежде, чем на этом ПК было установлено соединение с VPN, то трафик также будет идти через прокси-сервер злоумышленника. Это открывает возможность получения всех данных, указанных выше.

Большинство операционных систем и браузеров работают с WPAD, и являются уязвимыми к такому типу атаки. Эксперты, обнаружившие проблему, сообщили о ней разработчикам различных уязвимых программных продуктов. Патчи выпущены для OS X, iOS, Apple TV, Android, Google Chrome. Microsoft и Mozilla все еще работают над исправлением проблемы.

Самый простой способ — отключить WPAD. Если вам нужны PAC -файлы для работы, отключите WPAD и сконфигурируйте исключения URL самостоятельно.

Чапман и Стоун — не единственные эксперты по информационной безопасности, кто обратил внимание на уязвимость протокола WPAD. Несколькими днями ранее схожий тип атаки был продемонстрирован на конференции Black Hat. А в мае объединенная команда специалистов Verisign и Мичиганского университета рассказала о том, что десятки миллионов WPAD-запросов идут в сети каждый день, когда ноутбуки пользователей отключаются от корпоративных сетей. Эти машины дают запросы на внутренние WPAD домены с расширениями типа .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap, and .site.

Проблема в том, что такие доменные зоны уже существуют в глобальной сети, и при желании злоумышленник может зарегистрировать себе домены, на который идут запросы с корпоративных машин, отключенных от сети предприятия. А это, в свою очередь, позволяет злоумышленникам «скормить» самостоятельно сконфигурированных PAC-файл машинам, которые отключены от корпоративных сетей, но которые дают WPAD запросы на обнаружение упомянутых выше адресов в глобальной сети.

В Skype обнаружена XSS-уязвимость

Популярная VoIP программа Skype содержит уязвимость, которая может позволить получить атакующему доступ к аккаунту. Levent Kayan, нашедший XSS-уязвимость, в своем обзоре указал, что в некоторых случаях возможно получить доступ к системе пользователя.

Атакующий может внедрить javascript в поле мобильного телефона или поле «о себе». Эти поля недостаточно фильтруется, и когда кто-либо из контакт листа атакующего заходит в Skype внедренный код автоматически выполняется. Таким образом атакующий может сменить чей-либо пароль в Skype или изменить какие-либо другие данные.

Впрочем, у атаки есть и некоторые сложности. Одна из них заключается в том, что пользователи должны находиться в контакт-листах друг друга, кроме того атака не всегда срабатывает, когда жертва выходит в онлайн, иногда жертве приходится несколько раз выходить и заходить в Skype. Однако в конечном итоге уязвимость все-таки срабатывает, говорит эксперт.

XSS уязвимость содержится в версии Skype 5.3.0.120 и ранее, под управлением Windows и Mac, причем не всегда воспроизводится. Linux версия не затронута. На данный момент исправление не вышло.

Разработчики Skype подтвердили уязвимость и пообещали выпустить исправление в течение следующей недели. Они также объяснили почему уязвимость не всегда воспроизводится: для этого необходимо чтобы атакующий был в списке популярных контактов. Они также классифицировали проблему как не сильно значительную, т.к. атакующий якобы может только показать сообщение или перенаправить на другую страницу.

Уязвимость в Skype позволяет подслушивать за пользователями

Пользователь сервиса Reddit с ником Ponkers обнаружил данную уязвимость, суть которой заключается в том, что злоумышленник может вынудить Android-клиент пользователя перезвонить ему.

Злоумышленникам, для использования уязвимости необходимо два устройства с установленным приложением Skype, привязанным к аккаунту сервиса (мобильная или настольная версия приложения). Звонок осуществляется на установленный Skype с устройства; когда начинается вызов, устройство отключается от Интернета, далее вызываемое устройство перезванивает.

Таким образом Skype пытается автоматически восстановить «потерянное соединение», которого на самом деле не было. Если поднять трубку, между устройствами будут установлены голосовая и видеосвязь, и абонент сможет слышать и видеть все, что происходит на другом конце линии. Контакт устанавливается не каждый раз, а примерно в одном случае из трех.

В данный момент неизвестно, можно ли использовать этот метод с аппаратами на других платформах. Появились также сообщения о том, что уязвимость существует и в версии Skype для ПК. Microsoft уже уведомлена о наличии уязвимости.

Skype отключил функцию сброса пароля после обнаружения серьезной уязвимости

Skype начал расследовать уязвимость в безопасности системы и временно отключил функцию сброса пароля, заявил «Ведомостям» представитель компании.

Об уязвимости Skype, позволяющей злоумышленнику получить доступ к любому аккаунту, зная лишь только адрес электронной почты жертвы, вчера сообщил один из пользователей блога «Хабрахабр». По его словам, о ней известно уже несколько месяцев, однако ее до сих пор не исправили, а случаи взлома аккаунтов в последнее время участились. Ранее сегодня медиадиректор SUP Media Антон Носик сообщил о взломе своего аккаунта в Skype. Он узнал об этом непосредственно от хакера, который позвонил ему.

Пытливый пользователь «Хабрахабр» уточнял, что пока единственный способ защититься от «угона» — «зарегистрировать новый, никому не известный e-mail-адрес и сменить через сайт скайпа основной e-mail аккаунта на новый», при этом менять через саму программу Skype основной e-mail нельзя.

Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN.

Web Proxy Auto-Discovery Protocol (WPAD) — это протокол автоматической настройки прокси, который используется клиентами (браузером) для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. При совершении запроса браузером вызывается функция FindProxyForURL из PAC-файла, куда передается URL и хост. Ожидаемый ответ — список прокси, через которые будет осуществляться выход на этот адрес.

WPAD включен по умолчанию в Windows, поддерживается он и другими операционными системами. Но этот протокол подвержен ряду уязвимостей, что показали специалисты по информационной безопасности Алекс Чапман (Alex Chapman) и Пол Стоун (Paul Stone) на Defcon. Злоумышленники, используя эти уязвимости, могут получить данные жертвы (история поиска, доступы к аккаунтам, фото, документы и т.п.), несмотря на HTTPS или VPS соединения. Тип атаки, который применяется в этом случае — man-in-the-middle.

Размещение конфигурационного PAC-файла можно определить с использованием Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS) или Link-Local Multicast Name Resolution (LLMNR). Киберпреступники при желании могут использовать уязвимость в WPAD, указав размещение специально сконфигурированного PAC-файла, который направит запрос браузера через прокси-серверы, находящиеся под контролем злоумышленников. Этого можно добиться в открытой беспроводной сети, скомпрометировав роутер или точку доступа, либо открыв для всех желающих доступ к собственной точке доступа, сконфигурированной должным образом.

Компрометировать собственную сеть атакуемого ПК не обязательно, поскольку система будет использовать WPAD для обнаружения прокси в случае подключения по открытой беспроводной сети. При этом WPAD используется и в корпоративном окружении, эта опция включена по умолчанию на всех Windows-ПК, как уже говорилось выше.

Собственный прокси-сервер позволяет злоумышленникам перехватывать и модифицировать незашифрованный HTTP-трафик. Это не дает слишком многое киберпреступникам, поскольку большинство сайтов сейчас работает по HTTPS (HTTP Secure). Но, поскольку PAC-файлы обеспечивают возможность задавать различные адреса прокси для определенных веб-адресов, и для этих адресов можно принудительно выставить DNS lookup, хакеры-«белошляпники» создали скрипт, который позволяет получать все защищенные HTTPS URL на собственный сервер.

Полный адрес HTTPS URL должны быть скрыт, поскольку он содержит токены аутентификации и другую частную информацию. Но злоумышленник может восстановить адрес. Например, example.com/login?authtoken=ABC1234 может быть восстановлен путем использования DNS-запроса https.example.com.login.authtoken.ABC1234.leak и восстановлен на сервере киберпреступника.

Используя такой метод, атакующий может получить список поисковых запросов жертвы или просмотреть, какие статьи определенного ресурса жертва сейчас читает. Это не слишком хорошо с точки зрения информационной безопасности, но вроде бы не слишком опасно. Правда, неприятности жертвы на этом и не заканчиваются.

Исследователи разработали еще один тип атаки, который может использоваться для перенаправления пользователя открытой беспроводной точки доступа на фейковую страницу точи доступа. Многие беспроводные сети собирают данные о пользователях при помощи специальных страниц. После ввода своих данных пользователь получает доступ к интернету (часто такая схема используется провайдерами беспроводной связи в аэропортах).

Страница, сформированная злоумышленниками, загружает в фоне привычные пользователю Facebook или Google, а затем выполняет 302 HTTP редирект на другие URL при условии аутентификации пользователя. Если пользователь уже вошел в свою учетную запись, а большинство людей не выходят из своих учетных записей на различных ресурсах, работая со своего ПК или ноутбука, то мошенник может получить идентификационные данные жертвы.

Это касается учетных записей на самых разных ресурсах, причем по прямым ссылкам злоумышленник может получить доступ к личным фото жертвы, равно, как и другим данным. Злоумышленники могут похищать и токены для популярного протокола OAuth, который позволяет логиниться на различных сайтах, используя данные своего Facebook, Google или Twitter аккаунта.

Возможности нового метода специалисты показали на Defcon. Используя свою технологию, эксперты получили доступ к фото жертвы, истории координат, напоминаниям календаря и данных профиля аккаунта Google, а также доступ ко всем документам жертвы на Google Drive. Здесь стоит подчеркнуть, что атака не затрагивает HTTPS-шифрование, данные по-прежнему защищены. Но если в ОС включен WPAD, то HTTPS уже гораздо менее эффективен в плане защиты приватных данных пользователя. И это также касается информации тех пользователей, кто работает c VPN. WPAD позволяет получить доступ и к этим данным.

Все дело в том, что популярные VPN-клиенты, вроде OpenVPN, не очищают сетевые настройки, заданные WPAD. Это означает, что если атакующему уже удалось установить на ПК жертвы свои настройки прокси, прежде, чем на этом ПК было установлено соединение с VPN, то трафик также будет идти через прокси-сервер злоумышленника. Это открывает возможность получения всех данных, указанных выше.

Большинство операционных систем и браузеров работают с WPAD, и являются уязвимыми к такому типу атаки. Эксперты, обнаружившие проблему, сообщили о ней разработчикам различных уязвимых программных продуктов. Патчи выпущены для OS X, iOS, Apple TV, Android, Google Chrome. Microsoft и Mozilla все еще работают над исправлением проблемы.

Самый простой способ — отключить WPAD. Если вам нужны PAC -файлы для работы, отключите WPAD и сконфигурируйте исключения URL самостоятельно.

Чапман и Стоун — не единственные эксперты по информационной безопасности, кто обратил внимание на уязвимость протокола WPAD. Несколькими днями ранее схожий тип атаки был продемонстрирован на конференции Black Hat. А в мае объединенная команда специалистов Verisign и Мичиганского университета рассказала о том, что десятки миллионов WPAD-запросов идут в сети каждый день, когда ноутбуки пользователей отключаются от корпоративных сетей. Эти машины дают запросы на внутренние WPAD домены с расширениями типа .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap, and .site.

Проблема в том, что такие доменные зоны уже существуют в глобальной сети, и при желании злоумышленник может зарегистрировать себе домены, на который идут запросы с корпоративных машин, отключенных от сети предприятия. А это, в свою очередь, позволяет злоумышленникам «скормить» самостоятельно сконфигурированных PAC-файл машинам, которые отключены от корпоративных сетей, но которые дают WPAD запросы на обнаружение упомянутых выше адресов в глобальной сети.

Итог: Порочная связь уязвимость в Skype позволяет получить доступ к любому аккаунту, привязанному к Оглавление (нажмите, чтобы открыть): Злоумышленники могут получить доступ к любой учетной записи