En "una-al-día", el 25-7-1999 advertieron en HispaSec sobre la
debilidad del sistema de cifrado usado por el servicio de
mensajería de Microsoft para almacenar las contraseñas. Una
empresa de seguridad ha confirmado el hecho recientemente haciendo
pública una utilidad para averiguar las contraseñas cifradas.
Durante la configuración de MSN Messenger se permite al
usuario, a través de una casilla de verificación, el que el
programa guarde la contraseña de la cuenta de correo para no
tenerla que escribir cada vez que se haga uso de la cuenta.
Como ya indicamos, MSN Messenger almacena la contraseña en el
registro de Windows:
HKEY_USERS\[.Default]\Identities\[codigo]\Software\Microsoft\MessengerService
donde nos encontramos las variables "UserMSN Messenger Service"
que almacena la dirección de correo en Hotmail y "PasswordMSN
Messenger Service" que almacena unos datos en hexadecimal, como
por ejemplo: 64 57 35 68 63 48 4a 31 5a 57 4a 68 00
El grupo "Ussr" ha demostrado la debilidad del algoritmo a
través de un programa que permite recuperar la información
cifrada:
MSMDecripter 1.0 (Ejecutable)
Código fuente (Turbo Assembler 5.0)
Más información:
Problemas de seguridad en MSN Messenger
No hay comentarios:
Publicar un comentario