Robos de sesión en Hotmail posibles gracias a una vulnerabilidad en el manejo de las cookies

A la hora de gestionar nuestra privacidad siempre hemos recibido consejos como el de crear una contraseña robusta, cerrar siempre las sesiones iniciadas en los servicios online (correo, redes sociales, etc.) y evitar acceder a estos servicios en equipos que sean de uso público. No obstante, también cabe la posibilidad de que, aun tomando estas medidas de precaución, veamos estos servicios comprometidos por culpa de un fallo de diseño del proveedor. Algo así pasa en el caso que vamos a comentar.

El conocido sistema de correo electrónico Hotmail (conocido ahora como Outlook) presenta una vulnerabilidad en el manejo de las cookies que permitiría a cualquiera con acceso a ellas robar la sesión de otro usuario aunque esta estuviese cerrada. Este agujero de seguridad fue descubierto el pasado mes de noviembre por el investigador indio Mohit Kumar y, en el momento de escribir este post, aún no ha sido solucionado por Microsoft.

Al igual que sucede en muchas webs, la de Hotmail/Outlook utiliza cookies para almacenar la información de la sesión en el navegador del usuario. De esta forma, la sesión se mantiene abierta sin que el usuario tenga que introducir sus credenciales cada cierto tiempo. Cuando un usuario cierra la sesión, en teoría esas cookies deberían cancelarse e impedirse su reutilización.

No obstante, en el caso de Hotmail/Outlook, aunque hayamos cerrado la sesión se pueden seguir usando las mismas cookies para registrarse sin tener que introducir de nuevo las credenciales.

Tal y como se ve en el vídeo anterior, el método es muy sencillo de aplicar. Tan solo tenemos que seguir estos sencillos pasos:

1.- Primero nos registramos en nuestra cuenta de Hotmail/Outlook y exportamos las cookies a través de nuestro navegador.

2.- A continuación, y con el fichero de cookies ya exportado, abrimos otro navegador en el mismo sistema u otro diferente e importamos las cookies.

3.- Una vez hayamos importado las cookies accedemos a las webs Outlook.com o Hotmail.com y podremos acceder a la cuenta de la cual hemos capturado las cookies sin tener que introducir ninguna credencial.

Como vemos, todo se reduce a conseguir robar las cookies de una sesión iniciada en Hotmail/Outlook. Esto se puede hacer de varias maneras, como veremos a continuación:

• Teniendo acceso físico al sistema: de esta forma se pueden conseguir las cookies sin problemas, aunque ya que tenemos el acceso físico, ¿por qué quedarse tan solo aquí? Aunque hay muchas otras posibilidades, conseguir las cookies del usuario nos permitirá acceder a su cuenta de correo Hotmail/Outlook todas las veces que queramos desde cualquier otro equipo.
• Que la víctima y el atacante se encuentren en la misma red: aunque esta situación reduce considerablemente la tasa de éxito a la hora de robar las cookies, se podrían usar ataques man-in-the-middle para intentar capturarlas cuando el usuario se encuentre con la sesión de su cuenta abierta.
• XSS en Hotmail/Outlook: en el caso de que se descubriese una vulnerabilidad XSS en esta u otra web se podrían capturar las cookies sin mucha dificultad para luego acceder a la cuenta del usuario.
• Códigos maliciosos: de la misma forma que muchos malware tienen la función de captura de pulsaciones de teclado, también pueden incorporar el robo de cookies. Además, cualquier otro malware con la posibilidad de acceder remotamente a sistemas infectados no tendría mayores dificultades para robar estas cookies.

Tal y como hemos observado, el robo de estas cookies se puede hacer de varias maneras y supone un riesgo para nuestra privacidad. Es de esperar que Microsoft solucione en breve esta vulnerabilidad una vez esta ha sido hecho pública. Mientras tanto, a los usuarios solo nos queda esperar y aumentar las precauciones para evitar que nuestro servicio de correos sea accesible por personas no autorizadas.

Josep Albors