UPDATE: Microsoft heeft een tijdelijke permanente oplossing voor een eerder niet bekendgemaakte bug in de MSN Hotmail Web e-mail service die kon hebben toegestaan externe aanvallers om wachtwoorden te resetten.
de fout in de wachtwoord reset functionaliteit stond een externe aanvaller toe om het Hotmail/MSN wachtwoord te resetten met hun eigen waarden, volgens een bericht gepubliceerd door kwetsbaarheid laboratorium senior onderzoeker Benjamin Kunz Mejri. Het beïnvloed Microsoft ‘ s officiële MSN Hotmail (Live) service. Externe aanvallers kunnen het beveiligingsgat gebruiken om de password recovery service te omzeilen om een nieuw wachtwoord in te stellen, volgens de kennisgeving.Hotmail is ‘ s werelds grootste web-based e-mail service provider, met ongeveer 364 miljoen gebruikers. De fout zou ook een aanvaller MSN Hotmail ‘ s token gebaseerde login bescherming omzeilen. Volgens het Kwetsbaarheidslaboratoriumrapport controleert de tokenbescherming alleen of de invoerwaarden leeg zijn voordat de websessie wordt Geblokkeerd of gesloten. Mejri geslaagd om die functie te omzeilen door het invoeren van een tekenreeks, in dit geval,’+++) -.’
” op vrijdag hebben we een incident aangepakt met de functionaliteit voor het resetten van wachtwoorden; er is geen actie voor klanten, omdat ze beschermd zijn,” vertelde een woordvoerder van Microsoft via e-mail aan Threatpost.
volgens een rapport gepubliceerd op WhiteC0de, werd de exploit in eerste instantie ontdekt door een Saudi Arabische hacker die werkte voor Dev-point.com en werd gelekt naar hacker forums, waar het zich snel verspreidde. Ondanks de snelle actie om de fout op te lossen, Whitec0de beweert dat het op grote schaal is gebruikt om Hotmail accounts compromitteren. Op zijn beurt, ongeautoriseerde toegang tot die e-mailaccounts werd gebruikt om toegang te krijgen tot sociale media, financiële, en andere accounts gekoppeld aan die adressen.