Hotmail Password Reset Bug Exploited in Wild

frissítés: a Microsoft ideiglenes állandó javítást adott ki egy korábban nyilvánosságra nem hozott hibára az MSN Hotmail webes e-mail szolgáltatásában, amely lehetővé tette a távoli támadók számára a fiók jelszavainak visszaállítását.

a jelszó-visszaállítási funkció hibája lehetővé tette a távoli támadó számára, hogy saját értékeivel állítsa vissza a Hotmail/MSN jelszót, Benjamin Kunz Mejri sebezhetőségi laboratórium vezető kutatója által közzétett közlemény szerint. Ez befolyásolta a Microsoft hivatalos MSN Hotmail (Live) szolgáltatását. A közlemény szerint a távoli támadók a biztonsági lyuk segítségével megkerülhetik a jelszó-helyreállítási szolgáltatást egy új jelszó beállításához.

a Hotmail a világ legnagyobb webalapú e-mail szolgáltatója, mintegy 364 millió felhasználóval. A hiba lehetővé tenné a támadó számára, hogy megkerülje az MSN Hotmail token alapú bejelentkezési védelmét. A sérülékenységi laboratóriumi jelentés szerint a tokenvédelem csak a webes munkamenet blokkolása vagy bezárása előtt ellenőrzi, hogy a bemeneti értékek üresek-e. Mejri – nek sikerült megkerülnie ezt a funkciót egy karakterlánc beírásával, ebben az esetben ‘+++)-.’

“pénteken egy jelszó-visszaállítási funkcióval kapcsolatos incidenssel foglalkoztunk; az ügyfelek számára nincs intézkedés, mivel védettek” – mondta a Microsoft szóvivője e-mailben a Threatpostnak.

a WhiteC0de-n közzétett jelentés szerint a kizsákmányolást eredetileg egy szaúd-arábiai hacker fedezte fel Dev-point.com és volt, kiszivárgott hacker fórumok, ahol gyorsan elterjedt. A hiba kijavításának gyors intézkedése ellenére a Whitec0de azt állítja, hogy széles körben használták a Hotmail-fiókok veszélyeztetésére. Viszont az e-mail fiókokhoz való jogosulatlan hozzáférést arra használták fel, hogy hozzáférjenek a közösségi médiához, a pénzügyi és más fiókokhoz, amelyek ezekhez a címekhez kapcsolódnak.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.