MISE À JOUR: Microsoft a publié un correctif permanent temporaire pour un bogue précédemment non divulgué dans son service de messagerie Web MSN Hotmail qui aurait pu permettre aux attaquants distants de réinitialiser les mots de passe des comptes.
La faille dans la fonctionnalité de réinitialisation du mot de passe a permis à un attaquant distant de réinitialiser le mot de passe Hotmail / MSN avec ses propres valeurs, selon un avis publié par le chercheur principal du Laboratoire de vulnérabilité Benjamin Kunz Mejri. Cela a affecté le service MSN Hotmail (Live) officiel de Microsoft. Les attaquants distants pourraient utiliser la faille de sécurité pour contourner le service de récupération de mot de passe pour configurer un nouveau mot de passe, selon l’avis.
Hotmail est le plus grand fournisseur de services de messagerie web au monde, avec quelque 364 millions d’utilisateurs. La faille permettrait également à un attaquant de contourner la protection de connexion basée sur des jetons de MSN Hotmail. Selon le rapport du Laboratoire de vulnérabilité, la protection des jetons vérifie uniquement si les valeurs d’entrée sont vides avant de bloquer ou de fermer la session Web. Mejri a réussi à contourner cette fonctionnalité en entrant une chaîne de caractères, dans ce cas, ‘+++)-. »
« Vendredi, nous avons traité un incident avec la fonctionnalité de réinitialisation du mot de passe; il n’y a aucune action pour les clients, car ils sont protégés », a déclaré un porte-parole de Microsoft à Threatpost par e-mail.
Selon un rapport publié sur WhiteC0de, l’exploit a été initialement découvert par un pirate saoudien travaillant pour Dev-point.com et a été divulgué sur des forums de pirates informatiques, où il s’est rapidement propagé. Malgré l’action rapide pour corriger la faille, Whitec0de affirme qu’elle a été largement utilisée pour compromettre les comptes Hotmail. À son tour, l’accès non autorisé à ces comptes de messagerie a été mis à profit pour accéder aux médias sociaux, aux comptes financiers et à d’autres comptes liés à ces adresses.