aktualizace: společnost Microsoft vydala dočasnou trvalou opravu dříve nezveřejněné chyby ve své webové e-mailové službě MSN Hotmail, která mohla umožnit vzdáleným útočníkům resetovat hesla účtu.
chyba ve funkčnosti obnovení hesla umožnila vzdálenému útočníkovi resetovat heslo Hotmail/MSN s vlastními hodnotami, podle oznámení zveřejněného výzkumným pracovníkem laboratoře zranitelnosti Benjaminem Kunzem Mejri. To ovlivnilo oficiální službu Microsoft MSN Hotmail (Live). Vzdálení útočníci by podle oznámení mohli pomocí bezpečnostní díry obejít službu obnovení hesla a nastavit nové heslo.
Hotmail je největším poskytovatelem webových e-mailových služeb na světě, který nabízí přibližně 364 milionů uživatelů. Chyba by také umožnila útočníkovi obejít ochranu přihlášení založenou na tokenu MSN Hotmail. Podle zprávy laboratoře zranitelnosti ochrana tokenu kontroluje, zda jsou vstupní hodnoty prázdné před blokováním nebo zavřením webové relace. Mejri se podařilo tuto funkci obejít zadáním řetězce znaků, v tomto případě ‚+++)-.“
„v pátek jsme řešili incident s funkcí obnovení hesla; pro zákazníky neexistuje žádná akce, protože jsou chráněni,“ řekl mluvčí společnosti Microsoft prostřednictvím e-mailu Threatpost.
podle zprávy zveřejněné na WhiteC0de byl exploit původně objeven Saúdskoarabským hackerem pracujícím pro Dev-point.com a byl, unikl na hackerská fóra, kde se rychle šířil. Navzdory rychlé akci k odstranění chyby Whitec0de tvrdí, že byl široce používán ke kompromisu účtů služby Hotmail. Na druhé straně, neoprávněný přístup k těmto e-mailovým účtům byl využíván k získání přístupu k sociálním médiím, finanční, a další účty spojené s těmito adresami.