Los servicios de correo electrónico Hotmail y Outlook.com son vulnerables a ataques de fijación de sesión que podrían permitir a los ciberdelincuentes obtener el control total de una cuenta debido a lo que parece ser un problema que afecta a la gestión de cookies y sesiones.
El gurú de seguridad informática, Rishi Narang, escribió en su blog que las plataformas de correo electrónico de Microsoft, junto con las cuentas de Yahoo, Twitter y LinkedIn, son vulnerables a este fallo que podría ser aprovechado rápidamente incluso por un hacker sin demasiada experiencia.
"Los servicios de correo de Microsoft son vulnerables a este fallo de gestión de sesiones. Aparte de tus cuentas de correo electrónico MSN/Live regulares, también puedes mover tus cuentas corporativas al servicio de correo de Outlook Exchange. Por lo tanto, también afecta a tus cuentas corporativas alojadas por Microsoft. Ahora, el problema con Outlook/Live es que autentican las cookies de la sesión anterior, incluso si el usuario ha cerrado la sesión", explica Narang.
Básicamente, el experto en seguridad dice que un atacante podría robar las cookies de autenticación de una persona una vez que inicie sesión en la cuenta, ya que todas las cookies todavía están almacenadas en el servidor, aunque hayan sido eliminadas del navegador.
El mismo problema ha sido observado en todos los servicios antes mencionados y podría ser aprovechado para acceder a una cuenta específica a pesar de que las cookies de autenticación expiran al final de la sesión.
“Así que, ¿qué es lo que acaba de ocurrir? ¿Por qué la vieja cookie todavía está siendo validada en el servidor? La cookie expira al final de la sesión, es eliminada desde el navegador pero ¿qué pasa en el servidor? ¿Por qué el servidor mantiene la cookie de autenticación y por cuánto tiempo será válida? No tengo ni idea, pero me asusta”, escribe el experto.
"Estas cookies datan de hace días (a veces meses). Como resultado, alguien puede acceder con éxito a las cuentas que pertenecen a individuos de diferentes ubicaciones globales. Aunque hayan iniciado y cerrado la sesión varias veces, sus cookies seguirán siendo válidas."
Microsoft todavía tiene que emitir una declaración sobre este nuevo informe, pero nosotros hemos contactado con los Redmondians y actualizaremos el artículo si obtenemos una respuesta.
Fuente: Softpedia
No hay comentarios:
Publicar un comentario