opdatering: Microsoft har udstedt en midlertidig permanent rettelse til en tidligere ikke afsløret fejl i sin MSN Hotmail Internet e-mail-tjeneste, der kunne have tilladt fjernangribere at nulstille kontoadgangskoder.
fejlen i funktionen til nulstilling af adgangskode gjorde det muligt for en fjernangriber at nulstille Hotmail/MSN-adgangskoden med deres egne værdier, ifølge en meddelelse offentliggjort af Sårbarhedslaboratoriets seniorforsker Benjamin Mejri. Det påvirkede Microsofts officielle MSN Hotmail (Live) service. Fjernangribere kunne bruge sikkerhedshullet til at omgå adgangskodegendannelsestjenesten til at opsætte en ny adgangskode, ifølge meddelelsen.
Hotmail er verdens største internetbaserede e-mail-udbyder, der udråber omkring 364 millioner brugere. Fejlen vil også give en angriber mulighed for at omgå MSN Hotmails tokenbaserede loginbeskyttelse. I henhold til Sårbarhedslaboratorierapporten kontrollerer tokenbeskyttelsen kun, om inputværdierne er tomme, før de blokerer eller lukker internetsessionen. Mejri formåede at omgå denne funktion ved at indtaste en streng af tegn, i dette tilfælde ‘+++)-.’
” på fredag behandlede vi en hændelse med nulstilling af adgangskode; der er ingen handling for kunder, da de er beskyttet,” fortalte en Microsoft-talsmand Threatpost via e-mail.
ifølge en rapport offentliggjort på Hvidec0de blev udnyttelsen oprindeligt opdaget af en saudiarabisk hacker, der arbejdede for Dev-point.com og blev lækket til hackerfora, hvor det spredte sig hurtigt. På trods af den hurtige handling for at løse fejlen hævder Hvidec0de, at det er blevet brugt i vid udstrækning til at kompromittere Hotmail-konti. På tur, uautoriseret adgang til disse e-mail-konti blev udnyttet til at få adgang til sociale medier, finansiel, og andre konti knyttet til disse adresser.