Los investigadores de seguridad Mohit Kumar y Christy Philip Mathew han descubierto que una vulnerabilidad en el manejo de cookies permite a los ciberdelincuentes acceder a las cuentas de los usuarios de Hotmail y Outlook.

Ellos han demostrado que un atacante que obtenga acceso a las cookies de autenticación puede simplemente importarlas en el navegador utilizando un complemento de "importador de cookies" y podrá conectarse automáticamente a la cuenta de su víctima cuando acceda a uno de los servicios de Microsoft.

Kumar explica que hay varios métodos que podrían ser utilizados para obtener acceso a las cookies de autenticación: ataques man-in-the-middle si la víctima y el atacante están en la misma red, mediante el uso de malware, explotando un error cross-site scripting (XSS) - si existe, o accediendo físicamente al dispositivo de la víctima.

Los investigadores han notificado a Microsoft acerca de esta vulnerabilidad. Los representantes de la empresa de Redmond afirman que éste es un problema conocido y que están pensando en implementar un mecanismo de revocación de billetes en una próxima versión.

También destacan el hecho de que los servicios Live utilizan cookies independientes que se transmiten vía una conexión segura con el fin de evitar los ataques de reinyección. Además, afirman que un atacante no puede cambiar la contraseña de la víctima porque eso requeriría que él sepa la contraseña antigua.

FUENTE : http://news.softpedia.es/Las-cuentas-de-Hotmail-pueden-ser-secuestradas-robando-cookies-de-autenticacion-Video-315059.html

Y porque me voy a molestar en robarle una puñetera cookie si tengo acceso a esas fuentes ? (menos la de XSS claro)...

Ademas que de esa forma cualquier pagina es vulnerable. Por eso cuando importas las cookies desde el Firefox Sync sigues teniendo la session activa...

Saludos