Hackear Messenger: El Peligro de usar aplicaciones «PLUS»

Hacker Windows Live Messenger gracias a MSN Plus Live.

MSN Messenger
Windows Live Messenger

Desde hace muchos años, el uso de extensiones para agregar «funciones» a los clientes de mensajería instantanea como WhatsApp ya era muy popular, tanto que en foros de internet encontrabas versiones «No Oficiales» de Windows Live Messenger con Messenger Plus! Live integrado, esto no suponía ningún riesgo hasta que un día, entre sus «MEJORAS» integraron la opción de EJECUTAR PROGRAMAS desde la ventana de conversación.

Gracias a esta «Novedosa Mejora» y a la Ingeniería Social, cualquier usuario lo suficientemente astuto podría obtener el control total de un Equipo con MSN Messenger instalado si contaba con el complemento Messenger Plus! Live.

Hacerlo era tan sencillo que bastana con pedir a la persona con quien estabas chateando que escribiera un comando en la ventana de conversación de messenger y lo enviara como un mensaje:

/run cmd /c @echo off&title Dax&echo Hola: Fuiste hackeado por Dax&pause

El texto anterior NO SE ENVIARÍA como un mensaje de chat a tu contacto, en su lugar ejecutaría un comando en el Símbolo del Sistema (consola de comandos) y mostraría en pantalla una ventana MS-DOS con el mensaje Hola: Fuiste hackeado por Dax

Evidentemente un atacante no perderá el tiempo con un mensaje inofensivo, intentará obtener el control total o robar datos del equipo de la víctima.

Para quienes no entienden sobre ingeniería social, este ejemplo lo explica mejor:

Atacante (usuario de Messenger sin MSN Plus):
Hola, encontré una forma en que puedes sacar la contraseña de cualquiera de tus contactos del Messenger[…]
Víctima (usuario de Messenger con MSN Plus instalado):
A sí?… dime como
Atacante:
Necesitas MSN Plus, pero no te diré porque le puedes dar mal uso y se darán cuenta […]
Víctima:
Tengo MSN Plus, anda, dime cómo, somos amigos, prometo darle buen uso…
Atacante:
Ok, lo compartiré con la condición que no lo compartas con nadie más  […]
(la víctima cayó… le envías un archivo TXT como adjunto con un comando preparado para tomar control de su equipo y le pides que lo escriba en la ventana de chat de la persona de quien quiera «obtener la contraseña» y que lo envíe como mensaje normal).
Víctima:
Gracias, eres un buen amigo, lo voy a probar con mi novia 🙂 (El pobre cree que con eso va a conseguir la contraseña de su novia 🤣)
* Cuando la víctima ejecuta el comando en la ventana de conversación de su novia, el atacante automáticamente toma control del equipo…

No se si llamar a esto error humano, vulnerabilidad, o acción premeditada (parace un Bakdoor no una característica), lo que es un hecho es que la mayoría de usuarios de cualquier cliente de mensajería como Messenger o WhatsApp no saben mucho de seguridad y pueden ser fácilmente engañados.

Por eso es un peligro usar clientes de mensajería NO OFICIALES o aplicaciones que prometen agregar características o extender las funciones en messenger o whatsapp.

Saludos desde México. DaxMX.

Nota: Vulnerabilidad descubierta por DaxMX en Enero de 2009, fue válida en TODAS las versiones actualizadas de Messenger Plus! Live durante ese año, por lo cual Windows Live Messenger fue vulnerable. Se publicó originalmente en Junio de 2009 en dasumo.com porque al informar al desarrollador respondió que se trataba de una «característica» y no de un fallo de seguridad.

42 comentarios

Añadir respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *