aktualizacja: Microsoft wydał tymczasową stałą poprawkę dla wcześniej nieujawnionego błędu w swojej usłudze MSN Hotmail Web e-mail, który mógł umożliwić zdalnym atakującym resetowanie haseł kont.
wada funkcji resetowania hasła umożliwiła zdalnemu atakującemu zresetowanie hasła Hotmail/MSN z własnymi wartościami, zgodnie z powiadomieniem opublikowanym przez starszego badacza Laboratorium luk w zabezpieczeniach Benjamina Kunza Mejri. Wpłynęło to na oficjalną usługę MSN Hotmail (Live) Microsoftu. Zdalni napastnicy mogą użyć dziury bezpieczeństwa, aby ominąć usługę odzyskiwania hasła, aby skonfigurować nowe hasło, zgodnie z powiadomieniem.
Hotmail jest największym na świecie dostawcą internetowych usług e-mail, reklamując około 364 milionów użytkowników. Wada pozwoliłaby również atakującemu ominąć ochronę logowania opartą na tokenach MSN Hotmail. Zgodnie z raportem Laboratorium luk, Ochrona tokenów sprawdza tylko, czy wartości wejściowe są puste przed zablokowaniem lub zamknięciem sesji internetowej. Mejri zdołał ominąć tę funkcję, wprowadzając ciąg znaków, w tym przypadku’+++) -.”
„w piątek zajęliśmy się incydentem z funkcją resetowania hasła.nie ma żadnych działań dla klientów, ponieważ są chronieni” – powiedział rzecznik Microsoftu Threatpost za pośrednictwem poczty elektronicznej.
według raportu opublikowanego na WhiteC0de, exploit został początkowo odkryty przez saudyjskiego hakera pracującego dla Dev-point.com i był, wyciekł do forów hakerskich, gdzie szybko się rozprzestrzenił. Pomimo szybkich działań mających na celu naprawienie usterki, Whitec0de twierdzi, że był on szeroko stosowany do naruszania kont Hotmail. Z kolei nieautoryzowany dostęp do tych kont e-mail został wykorzystany, aby uzyskać dostęp do mediów społecznościowych, finansowych i innych kont powiązanych z tymi adresami.