uppdatering: Microsoft har utfärdat en tillfällig permanent fix för en tidigare hemlig bugg i sin MSN Hotmail webb e-posttjänst som kunde ha tillåtit fjärrangripare att återställa kontolösenord.
felet i lösenordsåterställningsfunktionen gjorde det möjligt för en fjärrangripare att återställa Hotmail/MSN-lösenordet med sina egna värden, enligt ett meddelande publicerat av Vulnerability Laboratory seniorforskare Benjamin Kunz Mejri. Det påverkade Microsofts officiella MSN Hotmail (Live) – tjänst. Fjärrangripare kan använda säkerhetshålet för att kringgå lösenordsåterställningstjänsten för att ställa in ett nytt lösenord, enligt meddelandet.
Hotmail är världens största webbaserade e-postleverantör, pracka några 364 miljoner användare. Felet skulle också tillåta en angripare att kringgå MSN Hotmails tokenbaserade inloggningsskydd. Enligt Sårbarhetslaboratorierapporten kontrollerar tokenskyddet endast om ingångsvärdena är tomma innan du blockerar eller stänger webbsessionen. Mejri lyckades kringgå den funktionen genom att ange en sträng av tecken, i det här fallet ’+++)-.”
”på fredag tog vi upp en incident med lösenordsåterställningsfunktionalitet; det finns ingen åtgärd för kunder, eftersom de är skyddade”, berättade en Microsoft-talesman Threatpost via e-post.
enligt en rapport publicerad på WhiteC0de upptäcktes utnyttjandet ursprungligen av en Saudiarabisk hacker som arbetade för Dev-point.com och läckte ut till hackerforum, där det spred sig snabbt. Trots den snabba åtgärden för att åtgärda felet hävdar Whitec0de att det har använts i stor utsträckning för att kompromissa med Hotmail-konton. I sin tur utnyttjades obehörig åtkomst till dessa e-postkonton för att få tillgång till sociala medier, finansiella och andra konton kopplade till dessa adresser.