actualizare: Microsoft a emis o remediere temporară permanentă pentru o eroare nedezvăluită anterior în serviciul său de e-mail Web MSN Hotmail care ar fi putut permite atacatorilor de la distanță să reseteze parolele contului.
defectul funcționalității de resetare a parolei a permis unui atacator de la distanță să reseteze parola Hotmail/MSN cu propriile valori, potrivit unei notificări publicate de cercetătorul principal al Laboratorului de vulnerabilitate Benjamin Kunz Mejri. A afectat serviciul oficial MSN Hotmail (Live) al Microsoft. Atacatorii de la distanță ar putea folosi gaura de securitate pentru a ocoli serviciul de recuperare a parolei pentru a configura o nouă parolă, potrivit notificării.
Hotmail este cel mai mare furnizor de servicii de e-mail bazat pe web din lume, oferind aproximativ 364 de milioane de utilizatori. Defectul ar permite, de asemenea, unui atacator să ocolească protecția de conectare bazată pe jetoane a MSN Hotmail. Conform raportului Laboratorului de vulnerabilitate, protecția token verifică numai dacă valorile de intrare sunt goale înainte de a bloca sau închide sesiunea web. Mejri a reușit să ocolească acea caracteristică introducând un șir de caractere, în acest caz, ‘+++)-.”
„vineri, am abordat un incident cu funcționalitate de resetare a parolei; nu există nicio acțiune pentru clienți, deoarece aceștia sunt protejați”, a declarat un purtător de cuvânt al Microsoft pentru Threatpost prin e-mail.
potrivit unui raport publicat pe WhiteC0de, exploatarea a fost descoperită inițial de un hacker din Arabia Saudită care lucra pentru Dev-point.com și a fost, scurs pe forumurile hackerilor, unde s-a răspândit rapid. În ciuda acțiunii rapide de remediere a defectului, Whitec0de susține că a fost utilizat pe scară largă pentru a compromite conturile Hotmail. La rândul său, accesul neautorizat la acele conturi de e-mail a fost folosit pentru a avea acces la rețelele sociale, financiare și alte conturi legate de aceste adrese.