Inicio SeguridadHackear Messenger: El Peligro de usar aplicaciones «PLUS»

Hacker Windows Live Messenger gracias a MSN Plus Live.

MSN Messenger
Windows Live Messenger

Desde hace muchos años, el uso de extensiones para agregar «funciones» a los clientes de mensajería instantanea como WhatsApp ya era muy popular, tanto que en foros de internet encontrabas versiones «No Oficiales» de Windows Live Messenger con Messenger Plus! Live integrado, esto no suponía ningún riesgo hasta que un día, entre sus «MEJORAS» integraron la opción de EJECUTAR PROGRAMAS desde la ventana de conversación.

Gracias a esta «Novedosa Mejora» y a la Ingeniería Social, cualquier usuario lo suficientemente astuto podría obtener el control total de un Equipo con MSN Messenger instalado si contaba con el complemento Messenger Plus! Live.

Hacerlo era tan sencillo que bastana con pedir a la persona con quien estabas chateando que escribiera un comando en la ventana de conversación de messenger y lo enviara como un mensaje:

/run cmd /c @echo off&title Dax&echo Hola: Fuiste hackeado por Dax&pause

El texto anterior NO SE ENVIARÍA como un mensaje de chat a tu contacto, en su lugar ejecutaría un comando en el Símbolo del Sistema (consola de comandos) y mostraría en pantalla una ventana MS-DOS con el mensaje Hola: Fuiste hackeado por Dax

Evidentemente un atacante no perderá el tiempo con un mensaje inofensivo, intentará obtener el control total o robar datos del equipo de la víctima.

Para quienes no entienden sobre ingeniería social, este ejemplo lo explica mejor:

Atacante (usuario de Messenger sin MSN Plus):
Hola, encontré una forma en que puedes sacar la contraseña de cualquiera de tus contactos del Messenger[…]
Víctima (usuario de Messenger con MSN Plus instalado):
A sí?… dime como
Atacante:
Necesitas MSN Plus, pero no te diré porque le puedes dar mal uso y se darán cuenta […]
Víctima:
Tengo MSN Plus, anda, dime cómo, somos amigos, prometo darle buen uso…
Atacante:
Ok, lo compartiré con la condición que no lo compartas con nadie más  […]
(la víctima cayó… le envías un archivo TXT como adjunto con un comando preparado para tomar control de su equipo y le pides que lo escriba en la ventana de chat de la persona de quien quiera «obtener la contraseña» y que lo envíe como mensaje normal).
Víctima:
Gracias, eres un buen amigo, lo voy a probar con mi novia 🙂 (El pobre cree que con eso va a conseguir la contraseña de su novia 🤣)
* Cuando la víctima ejecuta el comando en la ventana de conversación de su novia, el atacante automáticamente toma control del equipo…

No se si llamar a esto error humano, vulnerabilidad, o acción premeditada (parace un Bakdoor no una característica), lo que es un hecho es que la mayoría de usuarios de cualquier cliente de mensajería como Messenger o WhatsApp no saben mucho de seguridad y pueden ser fácilmente engañados.

Por eso es un peligro usar clientes de mensajería NO OFICIALES o aplicaciones que prometen agregar características o extender las funciones en messenger o whatsapp.

Saludos desde México. DaxMX.

Nota: Vulnerabilidad descubierta por DaxMX en Enero de 2009, fue válida en TODAS las versiones actualizadas de Messenger Plus! Live durante ese año, por lo cual Windows Live Messenger fue vulnerable. Se publicó originalmente en Junio de 2009 en dasumo.com porque al informar al desarrollador respondió que se trataba de una «característica» y no de un fallo de seguridad.

Comparte: Facebook Twitter WhatsApp Google Tumblr Reddit
Etiquetas:, , , , , , , , , , , , , , ,

Relacionados

42 comentarios
  1. johana

    Porfa responder rapido no quiero tener costos adicionales a mi factura por publicidad engañosa o no saber explicar bien sus condiciones para que la gente no caiga ,y se preocupe gracias

  2. johana

    como puedo desintalar el live plus ,live plus tiene costos,por que siiiii tiene costos dicen descargar
    GRAAAATIS como lo desintalo

  3. Me encanto el articulo orientado a la seguridad, por eso nunca hay que instalar el msn plus, se reconose que es una gran amenaza para el computador, pero asi y todo puedo reconoser que no es tan facil tener el control total de la victima, asi que no se asusten, si es una noticia que los deberia alarmar, pero no para entrar en panico…..
    Gracias por tus recomendaciones.

  4. xD NUUU PUEDE SER ME QUE DOM TRANQUILA JAQUEN UN MSN LUIS-CARRO@HOTMAIL.COM

  5. Nestor Omar

    Hola aline, se me ocurre colocar un keylogger en la pc de la persona que kieres saber la contraseña o bien mediante un sniffer si esta en red la computadora de la persona. O bien la ultima que le preguntes el password =).
    Suerte.

  6. Hola Pablo, quien debe tener PLUS instalado es la posible victima, al atacante le basta con convencer a la victima de ejecutar el comando malicioso usando /run.

    Como dice Diego, la solución es desmarcar la opción: "Activar comandos (mensajes que inician con /)".

    La finalidad de publicar esta info, es que quien la lea NO CAIGA en el engaño, si alguien les dice que escriban algo que inicia con /run en la ventana de conversación NO LO HAGAN pues las consecuencias serían desastrosas.

    Saludos.

  7. Pablo

    Saludos dasumo
    llevo tiempo viendo tu blog y foro y te doy gracias x todo tu aporte a la comunidad online porque son muy geniales todo lo que nos haces notar.
    y tengo una consulta a lo mejor no e leido bien pero, solamente basta con tener el plus instalado?
    o como muestras ahi mandando un cierto link?

    digo esto como los tipicos mensajes que salen cuando uno se conecta al msn y te salen «hola, tanto tiempo mira mis fotos fotos2007.txt» cosas asi.
    antemano agradezco si me responderias eso o a los comentadores de este espacio.
    saludos!

  8. Joselo2009

    Hola que alguien me ayude a hackear el correo hotmail de mi novia porque quiero descubrir si esta saliendo con alguien mas por favor es de vida o muerte gracias.

  9. GaboSs08

    Bueno estamos aquí para ayudar mutuamente aunque de tu parte ayudas más. Me imagino el arduo trabajo que debes llevar y tener que eso pasa.

    Desde Venezuela, saludos.

  10. Diego

    Y si le quitas la opción «Activar comandos (mensajes que comienzan con /)» no es suficiente?

    En teoría me suena que sí…

    Gracias por la información de todas forma

  11. Gracias GaboSs08, corregido, a veces ya no se ni como me llamo…

    Un saludo 🙂

  12. GaboSs08

    Hola Dasumo, siempre tomo muy en cuenta tus opiniones y tus programas publicados en este blog. Has sido de gran ayuda a la hora de escoger un antivirus.

    Te quiero dar las gracias desde Venezuela.

    Ah y en el último párrafo de esta nota del msn, colocaste «conciderando» y quiero que corrijas el error, es considerando.

  13. Andy_mx87

    Pues yo si tengo Messenger Plus y ahora lo considero una herramienta «Indispensable» para usar junto con Windows Live Messenger 2009

    No me imagino sin los nicks a colores ni con todas esas ventajas q nos ofrece!

    Sobre la vulnerabilidad a la q estamos expuestos.. pues si es un riesgo, pero para mí vale la pena correrlo ( y con q no tenga contactos tan Geeks todo esta bien jeje)

  14. miGuel

    que onduras dasumo yo ando por acambaro pasandote a saludar como siempre ayudar por exelencia

  15. Aline

    eeey como puedo saber la contraseña de alguien me urge diganme por favor es de hotmail estare agradecida.

Comentarios siguientes »