AGGIORNAMENTO: Microsoft ha rilasciato una correzione temporanea permanente per un bug precedentemente non divulgato nel suo servizio di posta elettronica Web MSN Hotmail che avrebbe potuto consentire agli aggressori remoti di reimpostare le password degli account.
La falla nella funzionalità di reimpostazione della password ha permesso a un utente malintenzionato remoto di reimpostare la password Hotmail / MSN con i propri valori, secondo un avviso pubblicato dal ricercatore senior di Vulnerability Laboratory Benjamin Kunz Mejri. Ha interessato il servizio ufficiale MSN Hotmail (Live) di Microsoft. Gli aggressori remoti potrebbero utilizzare il buco di sicurezza per bypassare il servizio di recupero password per impostare una nuova password, secondo l’avviso.
Hotmail è il più grande fornitore di servizi di posta elettronica web-based al mondo, reclamizzando circa 364 milioni di utenti. Il difetto consentirebbe anche a un utente malintenzionato di bypassare la protezione di accesso basata su token di MSN Hotmail. Secondo il rapporto di laboratorio vulnerabilità, la protezione token controlla solo se i valori di input sono vuoti prima di bloccare o chiudere la sessione web. Mejri è riuscito a bypassare questa funzione inserendo una stringa di caratteri, in questo caso,’+++) -.’
“Venerdì, abbiamo affrontato un incidente con la funzionalità di reimpostazione della password; non c’è azione per i clienti, in quanto sono protetti”, ha detto un portavoce di Microsoft Threatpost via e-mail.
Secondo un rapporto pubblicato su WhiteC0de, l’exploit è stato inizialmente scoperto da un hacker saudita che lavora per Dev-point.com ed era, trapelato a forum di hacker, dove si diffuse rapidamente. Nonostante la rapida azione per risolvere il difetto, Whitec0de sostiene che è stato ampiamente utilizzato per compromettere gli account Hotmail. A sua volta, l’accesso non autorizzato a tali account di posta elettronica è stato sfruttato per ottenere l’accesso ai social media, finanziari e altri account collegati a tali indirizzi.