UPDATE: Microsoft on antanut väliaikaisen pysyvän korjauksen aiemmin julkistamaton vika sen MSN Hotmail Web-sähköpostipalvelussa, joka olisi voinut sallia etähyökkääjät nollata tilin salasanat.
salasanan nollaustoiminnon virhe salli etähyökkääjän nollata Hotmail/MSN-salasanan omilla arvoillaan, kertoo Haavoittuvuuslaboratorion vanhempi tutkija Benjamin Kunz Mejri tiedotteessa. Se vaikutti Microsoftin viralliseen MSN Hotmail (Live) – palveluun. Etähyökkääjät voisivat käyttää tietoturva-aukkoa ohittaakseen salasanan palautuspalvelun uuden salasanan asentamiseksi, tiedotteessa kerrotaan.
Hotmail on maailman suurin verkkopohjaisten sähköpostipalveluiden tarjoaja, jolla on noin 364 miljoonaa käyttäjää. Virhe mahdollistaisi myös hyökkääjän ohittamisen MSN Hotmailin token-pohjaisen kirjautumissuojauksen avulla. Haavoittuvuuden Laboratorioraportin mukaan token-suojaus tarkistaa vain, jos syötearvot ovat tyhjiä ennen verkkoistunnon estämistä tai sulkemista. Mejri onnistui ohittamaan kyseisen ominaisuuden syöttämällä merkkijonon, tässä tapauksessa’+++) -.”
”perjantaina puutuimme tapaukseen, jossa oli salasanojen palautustoiminto; asiakkaille ei ole toimintaa, koska he ovat suojattuja”, Microsoftin tiedottaja kertoi Threatpostille sähköpostitse.
WhiteC0de-sivustolla julkaistun raportin mukaan hyväksikäytön löysi alun perin Saudiarabialainen hakkeri, joka työskenteli Dev-point.com ja oli, vuoti hakkeri foorumeilla, jossa se levisi nopeasti. Huolimatta nopea toiminta korjata virhe, Whitec0de väittää, että se on laajalti käytetty vaarantamaan Hotmail tilejä. Näiden sähköpostitilien luvaton käyttö puolestaan hyödynsi pääsyä sosiaaliseen mediaan, talouteen ja muihin näihin osoitteisiin linkitettyihin tileihin.