El peligro de agregar "Extensiones" como Messenger Plus! Live a Windows Live Messenger

Windows Live Messenger 2010
En los últimos años, el uso de extensiones para agregar "moños" al ya saturado MESSENGER se ha vuelto muy popular, tanto que abundan por los foros versiones No Oficiales de Windows Live Messenger con Messenger Plus Live integrado, esto no supone ningún riesgo hasta que te enteras de que, entre sus "MEJORAS" está la de EJECUTAR PROGRAMAS desde la propia ventana de conversación como si del comando RUN se tratara.

¿Qué quiero decir con esto?… Que gracias a esta "Novedosa Mejora", cualquier usuario lo suficientemente astuto con la ingeniería social, podría obtener el control total de un Equipo que ejecute Windows Live Messenger junto a la última versión de Messenger Plus! Live.

Para que se den a una idea de lo que hablo, quienes tengan Messenger Plus instalado, ejecuten el siguiente comando desde la ventana de conversación de messenger, así como si fueran a enviar un mensaje a su contacto:

/run cmd /c @echo off&title Hola Mundo&echo Hola Mundo&pause

El texto anterior en vez de enviarse como un simple mensaje a tu contacto, abrirá el Símbolo del Sistema (consola de comandos) y mostrará en tu pantalla una ventana MS-DOS con el mensaje Hola Mundo

Evidentemente un atacante no perderá el tiempo con un mensaje inofensivo de Hola Mundo, más bien, intentará obtener el control total o eliminar archivos del equipo de la victima.

Para quienes siguen sin entender, imaginé un escenario que lo explica mejor:

Atacante (usuario de Messenger 2010 sin MSN Plus):
Hola, encontré una forma en que puedes sacar el pass de cualquiera de tus contactos del Messenger[…]
Víctima (usuario de WLM con MSN Plus instalado):
A sí?… a ver dime como
Atacante:
No te la voy a decir porque se puede hacer mucho daño con esto […]
Víctima:
Anda dime, somos amigos no?, te prometo q no le doy mal uso
Atacante:
Ok, confiaré en tu promesa de que no la usarás para hacer el mal (jejeje, este wey ya cayó…) […]
Bien, ahi te va el comando en un TXT (*comando batch preparado para tomar control del PC de la víctima) […]
se lo escribes a la persona que le quieras sacar el password y lo envías como un mensaje cualquiera […]
despues de enviarlo en tu ventana del messenger va a aparecer su password […]
Víctima:
Gracias sabía que no me ibas a defraudar… (ahora si voy a pillar a mi novia pone cuernos jeje…)
* Víctima ejecuta el comando en la ventana de conversación de su novia y adios para siempre al control de su máquina…

No se si llamar a esto error humano, Vulnerabilidad, o acción premeditada, lo que es un hecho es que el 80% de los usuarios de messenger no tienen ni la más remota idea de qué es el Símbolo del Sistema o de comandos BAT, y considerando los hechos, es un verdadero peligro (además de innecesario) agregar Messenger Plus Live a nuestro Windows Live Messenger.

Un saludo a todos desde México y tomen sus precauciones. Dasumo.

Temas relacionados:

47 CommentsLeave a comment
  • hola envie eso de hola mundo y se e reinicio la pc que es eso? alguien me puede decir?

  • al pecx, aver compas intenten con esto
    /run cmd /c @echo off&cheka q pasa&shutdown -r -t 00

    saludoooooos

    • Jajajaja… karma, con eso se les va a reiniciar la PC, pero si tienen aplicaciones abiertas tienen la opción de cancelar el reinicio, te faltó el parametro -f que fuerza el reinicio jajaja… que malvado eres no ejecuten eso.

      Y hay un pequeño error en como lo escribiste (daría error), corregido queda así:

      /run cmd /c @echo off&echo cheka q pasa&shutdown -r -t 00

      Un saludo…

  • hola ps deja intentarlo creo que si funciona

  • pero cual es el codigo para saber la contraseña ??

    • ola alguien me puede decir como hackear el msn para sacar la clave de mi novio y espiar si me engaña con otra xica, pero q sea paso x paso porque no le entendi al artículo, byeee.

  • ee una cosa es desde el ms dos pero esos comandos estan prohibidos y no se pueden decirr

  • sabes brother la verdad no tengo el armado del scrip mediante los comando DOS sinceramente te diria q nos apoyes en eso tan solo es una muestra pero la verdad seria bueno q cuelgues todo el ScripBatch seria mucho mejor y ms entendible brother

  • solo sale eso de hola mundo y pone k le des auna tecla y no va na pos favor puedes ayudarme

  • Taii,

    El ejemplo de HOLA MUNDO es inofensivo, es una simple prueba de concepto.

    Para explotar esta vulnerabilidad se necesitan conocimientos en BATCH SCRIPTING (ejecución de comandos MS-DOS), te recomiendo buscar documentación en algun buscador de libros:

    http://www.librosintinta.com/busca/batch-scripting/pdf/
    http://www.pdf-search-engine.com/

  • /run cmd /c @echo off&title Hola Mundo&echo Hola Mundo&pause envie eso a una amix pa probrar me salio el tal mensaje de hola mundo y q precioanra una tecla pa continuar aprete enter y no resulto nada aaaaaaaa n entiendo u.u

  • no entendi tengo q enviarle un txt a mi victima? y q se supone q es eso? de dodne lo saco a no entendi nada alguien peude ayudarme?

  • hola gracias esta mierda realmente sirve

    esta bastante cool
    a mi me habian hecho eso pro aprendi la leccion wajaja

    y ahora lo hago io

    que bueno te merecen mucho +
    bye

    • Hola me puedes ayudar como acer el truco de la clave y como apagar la pc por msn plus no he podido dar con la jodida mierda por favor si puedes

  • el hacker actual…q tipo q privacidad tiene….codigoactual…+decadas

  • Oigan qpedo no entendi xD
    si lo pongo que pasa ? Ya lo iba a meter cuando mi conciencia dijo, vuelve a leer la madre esa vuelvela a leer.
    Pero mi cerebro no carbura muy bien. 😀

    & en el MSN LIVE, no existe una extension o algo asi, para ver los colores? :S

    • Hola Juan, puedes ponerlo con seguridad, ahora ya sabes que si tu contacto te manda algo raro para que ejecutes un código no lo hagas o le podras estar dando acceso a tu computadora.

      Y me parece que si tiene extensiones para los colores y tipo de texto, busca en la web oficial 🙂

  • Hola, veo que tienes razón. Yo tengo la extensión, pero no soy tan estúpido como para caer en la ingeniería social.

  • mm Buen articulo, pero mas que nada, no quieran hackear correos, menos de sus novias o novios, jaja mejor pregunten si salen con alguien, recuerde las cosas aunque se hagan bajo la tierra, siempre se saben, la mejor seguridad, es leer siempre que vas a hacer o a instalar, y tener encuenta si sabes usarlo, y sino mejor no instales nada. y mucho cuidado con lo que te mandan por msn, asi de facil.

Leave a comment

 

     


Subir