UPDATE: a Microsoft emitiu uma correção permanente temporária para um bug anteriormente não revelado em seu serviço de E-mail da web do MSN Hotmail que poderia ter permitido que invasores remotos redefinissem as senhas da conta.
a falha na funcionalidade de redefinição de senha permitiu que um invasor remoto redefinisse a senha do Hotmail/MSN com seus próprios valores, de acordo com um aviso publicado pelo pesquisador sênior do Laboratório de vulnerabilidades Benjamin Kunz Mejri. Isso afetou o serviço oficial do MSN Hotmail (Live) da Microsoft. Invasores remotos podem usar a falha de segurança para ignorar o serviço de recuperação de senha para configurar uma nova senha, de acordo com o aviso.O Hotmail é o maior provedor de serviços de E-mail baseado na web do mundo, divulgando cerca de 364 milhões de usuários. A falha também permitiria que um invasor contornasse a proteção de login baseada em token do MSN Hotmail. De acordo com o relatório do Laboratório de vulnerabilidades, a proteção de token verifica apenas se os valores de entrada estão vazios antes de bloquear ou fechar a sessão da web. Mejri conseguiu contornar esse recurso inserindo uma sequência de caracteres, neste caso, ‘+++)-.’
“na sexta-feira, abordamos um incidente com a funcionalidade de redefinição de senha; não há ação para os clientes, pois eles estão protegidos”, disse um porta-voz da Microsoft ao Threatpost por e-mail.
de acordo com um relatório publicado no WhiteC0de, a exploração foi inicialmente descoberta por um hacker da Arábia Saudita que trabalhava para Dev-point.com e foi, vazou para fóruns de hackers, onde se espalhou rapidamente. Apesar da ação rápida para corrigir a falha, Whitec0de afirma que tem sido amplamente utilizado para comprometer as contas do Hotmail. Por sua vez, o acesso não autorizado a essas contas de E-mail foi aproveitado para obter acesso a mídias sociais, financeiras e outras contas vinculadas a esses endereços.