El peligro de agregar "Extensiones" como Messenger Plus! Live a Windows Live Messenger

Windows Live Messenger 2010
En los últimos años, el uso de extensiones para agregar "moños" al ya saturado MESSENGER se ha vuelto muy popular, tanto que abundan por los foros versiones No Oficiales de Windows Live Messenger con Messenger Plus Live integrado, esto no supone ningún riesgo hasta que te enteras de que, entre sus "MEJORAS" está la de EJECUTAR PROGRAMAS desde la propia ventana de conversación como si del comando RUN se tratara.

¿Qué quiero decir con esto?… Que gracias a esta "Novedosa Mejora", cualquier usuario lo suficientemente astuto con la ingeniería social, podría obtener el control total de un Equipo que ejecute Windows Live Messenger junto a la última versión de Messenger Plus! Live.

Para que se den a una idea de lo que hablo, quienes tengan Messenger Plus instalado, ejecuten el siguiente comando desde la ventana de conversación de messenger, así como si fueran a enviar un mensaje a su contacto:

/run cmd /c @echo off&title Hola Mundo&echo Hola Mundo&pause

El texto anterior en vez de enviarse como un simple mensaje a tu contacto, abrirá el Símbolo del Sistema (consola de comandos) y mostrará en tu pantalla una ventana MS-DOS con el mensaje Hola Mundo

Evidentemente un atacante no perderá el tiempo con un mensaje inofensivo de Hola Mundo, más bien, intentará obtener el control total o eliminar archivos del equipo de la victima.

Para quienes siguen sin entender, imaginé un escenario que lo explica mejor:

Atacante (usuario de Messenger 2010 sin MSN Plus):
Hola, encontré una forma en que puedes sacar el pass de cualquiera de tus contactos del Messenger[…]
Víctima (usuario de WLM con MSN Plus instalado):
A sí?… a ver dime como
Atacante:
No te la voy a decir porque se puede hacer mucho daño con esto […]
Víctima:
Anda dime, somos amigos no?, te prometo q no le doy mal uso
Atacante:
Ok, confiaré en tu promesa de que no la usarás para hacer el mal (jejeje, este wey ya cayó…) […]
Bien, ahi te va el comando en un TXT (*comando batch preparado para tomar control del PC de la víctima) […]
se lo escribes a la persona que le quieras sacar el password y lo envías como un mensaje cualquiera […]
despues de enviarlo en tu ventana del messenger va a aparecer su password […]
Víctima:
Gracias sabía que no me ibas a defraudar… (ahora si voy a pillar a mi novia pone cuernos jeje…)
* Víctima ejecuta el comando en la ventana de conversación de su novia y adios para siempre al control de su máquina…

No se si llamar a esto error humano, Vulnerabilidad, o acción premeditada, lo que es un hecho es que el 80% de los usuarios de messenger no tienen ni la más remota idea de qué es el Símbolo del Sistema o de comandos BAT, y considerando los hechos, es un verdadero peligro (además de innecesario) agregar Messenger Plus Live a nuestro Windows Live Messenger.

Un saludo a todos desde México y tomen sus precauciones. Dasumo.

Temas relacionados:

47 CommentsLeave a comment
  • como puedo desintalar el live plus ,live plus tiene costos,por que siiiii tiene costos dicen descargar
    GRAAAATIS como lo desintalo

  • Me encanto el articulo orientado a la seguridad, por eso nunca hay que instalar el msn plus, se reconose que es una gran amenaza para el computador, pero asi y todo puedo reconoser que no es tan facil tener el control total de la victima, asi que no se asusten, si es una noticia que los deberia alarmar, pero no para entrar en panico…..
    Gracias por tus recomendaciones.

  • xD NUUU PUEDE SER ME QUE DOM TRANQUILA JAQUEN UN MSN LUIS-CARRO@HOTMAIL.COM

  • Nestor Omar says:

    Hola aline, se me ocurre colocar un keylogger en la pc de la persona que kieres saber la contraseña o bien mediante un sniffer si esta en red la computadora de la persona. O bien la ultima que le preguntes el password =).
    Suerte.

  • Hola Pablo, quien debe tener PLUS instalado es la posible victima, al atacante le basta con convencer a la victima de ejecutar el comando malicioso usando /run.

    Como dice Diego, la solución es desmarcar la opción: "Activar comandos (mensajes que inician con /)".

    La finalidad de publicar esta info, es que quien la lea NO CAIGA en el engaño, si alguien les dice que escriban algo que inicia con /run en la ventana de conversación NO LO HAGAN pues las consecuencias serían desastrosas.

    Saludos.

  • Saludos dasumo
    llevo tiempo viendo tu blog y foro y te doy gracias x todo tu aporte a la comunidad online porque son muy geniales todo lo que nos haces notar.
    y tengo una consulta a lo mejor no e leido bien pero, solamente basta con tener el plus instalado?
    o como muestras ahi mandando un cierto link?

    digo esto como los tipicos mensajes que salen cuando uno se conecta al msn y te salen “hola, tanto tiempo mira mis fotos fotos2007.txt” cosas asi.
    antemano agradezco si me responderias eso o a los comentadores de este espacio.
    saludos!

  • Joselo2009 says:

    Hola que alguien me ayude a hackear el correo hotmail de mi novia porque quiero descubrir si esta saliendo con alguien mas por favor es de vida o muerte gracias.

  • Bueno estamos aquí para ayudar mutuamente aunque de tu parte ayudas más. Me imagino el arduo trabajo que debes llevar y tener que eso pasa.

    Desde Venezuela, saludos.

  • Y si le quitas la opción “Activar comandos (mensajes que comienzan con /)” no es suficiente?

    En teoría me suena que sí…

    Gracias por la información de todas forma

  • Gracias GaboSs08, corregido, a veces ya no se ni como me llamo…

    Un saludo 🙂

  • Hola Dasumo, siempre tomo muy en cuenta tus opiniones y tus programas publicados en este blog. Has sido de gran ayuda a la hora de escoger un antivirus.

    Te quiero dar las gracias desde Venezuela.

    Ah y en el último párrafo de esta nota del msn, colocaste “conciderando” y quiero que corrijas el error, es considerando.

  • Andy_mx87 says:

    Pues yo si tengo Messenger Plus y ahora lo considero una herramienta “Indispensable” para usar junto con Windows Live Messenger 2009

    No me imagino sin los nicks a colores ni con todas esas ventajas q nos ofrece!

    Sobre la vulnerabilidad a la q estamos expuestos.. pues si es un riesgo, pero para mí vale la pena correrlo ( y con q no tenga contactos tan Geeks todo esta bien jeje)

  • que onduras dasumo yo ando por acambaro pasandote a saludar como siempre ayudar por exelencia

  • eeey como puedo saber la contraseña de alguien me urge diganme por favor es de hotmail estare agradecida.

Leave a comment

   


Subir