AKTUALISIEREN: Microsoft hat einen temporären permanenten Fix für einen zuvor nicht offenbarten Fehler in seinem MSN Hotmail-Web-E-Mail-Dienst veröffentlicht, der es entfernten Angreifern ermöglicht haben könnte, Kontokennwörter zurückzusetzen.
Der Fehler in der Funktion zum Zurücksetzen des Kennworts ermöglichte es einem entfernten Angreifer, das Hotmail / MSN-Kennwort mit seinen eigenen Werten zurückzusetzen, heißt es in einer Mitteilung des Senior Researchers Benjamin Kunz Mejri vom Vulnerability Laboratory. Betroffen war der offizielle MSN Hotmail (Live) -Dienst von Microsoft. Entfernte Angreifer könnten die Sicherheitslücke nutzen, um den Passwortwiederherstellungsdienst zu umgehen und ein neues Passwort einzurichten, so die Mitteilung.
Hotmail ist der weltweit größte webbasierte E-Mail-Dienstanbieter mit rund 364 Millionen Nutzern. Der Fehler würde es einem Angreifer auch ermöglichen, den tokenbasierten Anmeldeschutz von MSN Hotmail zu umgehen. Laut dem Vulnerability Laboratory-Bericht überprüft der Token-Schutz nur, ob Eingabewerte leer sind, bevor die Web-Sitzung blockiert oder geschlossen wird. Mejri hat es geschafft, diese Funktion zu umgehen, indem er eine Zeichenfolge eingegeben hat, in diesem Fall ‚+++)-.‘
„Am Freitag haben wir einen Vorfall mit Passwort-Reset-Funktionalität angesprochen; Es gibt keine Aktion für Kunden, da sie geschützt sind“, sagte ein Microsoft-Sprecher Threatpost per E-Mail.
Laut einem auf WhiteC0de veröffentlichten Bericht wurde der Exploit ursprünglich von einem saudi-arabischen Hacker entdeckt, der für Dev-point.com und war, zu Hacker-Foren durchgesickert, wo es sich schnell verbreitete. Trotz der schnellen Maßnahmen zur Behebung des Fehlers behauptet Whitec0de, dass es häufig verwendet wurde, um Hotmail-Konten zu kompromittieren. Im Gegenzug wurde der unbefugte Zugriff auf diese E-Mail-Konten genutzt, um Zugang zu sozialen Medien, Finanz- und anderen Konten zu erhalten, die mit diesen Adressen verknüpft sind.