Informes | el 24 de Abril del 2010

EL peligro de tener msn plus live!


En los últimos años, el uso de extensiones para agregar \"moños\" al ya saturado MESSENGER se ha vuelto muy popular, tanto que abundan por los foros versiones No Oficiales de Windows Live Messenger con Messenger Plus Live integrado, esto no supone ningún riesgo hasta que te enteras de que, entre sus \"MEJORAS\" está la de EJECUTAR PROGRAMAS desde la propia ventana de conversación como si del comando RUN se tratara.

¿Qué quiero decir con esto?… Que gracias a esta \"Novedosa Mejora\", cualquier usuario lo suficientemente astuto con la ingeniería social, podría obtener el control total de un Equipo que ejecute Windows Live Messenger junto a la última versión de Messenger Plus! Live.

Para que se den a una idea de lo que hablo, quienes tengan Messenger Plus instalado, ejecuten el siguiente comando desde la ventana de conversación de messenger, así como si fueran a enviar un mensaje a su contacto:

Código:

/run cmd /c @echo off&title Hola Mundo&echo Hola Mundo&pause



El texto anterior en vez de enviarse como un simple mensaje a tu contacto, abrirá el Símbolo del Sistema (consola de comandos) y mostrará en tu pantalla una ventana MS-DOS con el mensaje Hola Mundo…

Evidentemente un atacante no perderá el tiempo con un mensaje inofensivo de Hola Mundo, más bien, intentará obtener el control total o eliminar archivos del equipo de la victima.
Para quienes siguen sin entender, imaginé un escenario que lo explica mejor:

Atacante (usuario de WLM sin MSN Plus):
Hola, encontré una forma en que puedes sacar el pass de cualquiera de tus contactos del Messenger[...]
Víctima (usuario de WLM con MSN Plus instalado):
A sí?… a ver dime como
Atacante:
No te la voy a decir porque se puede hacer mucho daño con esto [...]
Víctima:
Anda dime, somos amigos no?, te prometo q no le doy mal uso
Atacante:
Ok, confiaré en tu promesa de que no la usarás para hacer el mal (jejeje, este wey ya cayó…) [...]
Bien, ahi te va el comando en un TXT (*comando batch preparado para tomar control del PC de la víctima) [...]
se lo escribes a la persona que le quieras sacar el password y lo envías como un mensaje cualquiera [...]
despues de enviarlo en tu ventana del messenger va a aparecer su password [...]
Víctima:
Gracias sabía que no me ibas a defraudar… (ahora si voy a pillar a mi novia pone cuernos jeje…)
* Víctima ejecuta el comando en la ventana de conversación de su novia y adios para siempre al control de su máquina…

No se si llamar a esto error humano, Vulnerabilidad, o acción premeditada, lo que es un hecho es que el 80% de los usuarios de messenger no tienen ni la más remota idea de qué es el Símbolo del Sistema o de comandos BAT, y considerando los hechos, es un verdadero peligro (además de innecesario) agregar Messenger Plus Live a nuestro Windows Live Messenger.