Connect with us

technokrata

Kritikus biztonsági hiba a Microsoft Passport azonosító rendszerében

Dotkom

Kritikus biztonsági hiba a Microsoft Passport azonosító rendszerében

Személyes és hitelkártya információk kiszivárogtatását is lehetővé teszi az a biztonsági hiba, melyet a Microsoft Passport szolgáltatásában találtak.

Maga a hiba a Passport jelszóvisszaszerző eljárásában rejlett, melynek révén lehetővé vált a támadó számára, hogy bármely olyan felhasználó jelszavát megváltoztassa, akinek ismeri a felhasználónevét. A Full Disclosure levelezőlistán publikált sérülékenység a kihasználhatóság egyszerűsége és a megszerezhető adatok minősége miatt kritikus besorolást kapott.

A veszélyre egy pakisztáni férfi, név szerint Muhammad Faisal Rauf Danka bukkant, aki szerint a hiba már jó ideje megtalálható volt a rendszerben, csak eddig senki sem fedezte fel. A távol-keleti származású férfi természetesen értesítette a redmondi szoftvercéget, amely meglepően gyorsan reagált a bejelentésre: két és fél órával a figyelmeztetés után már ki volt kapcsolva a Passport veszélyes funkciója. Sean Sundwall, a cég szóvivője ezt közvetítette a nyilvánosság felé is: ˝A jelszó visszaállításának összes lehetőségét megszüntettük.˝ – mondta.

Egy egyszerű webcím révén elérhető volt a hiba kihasználása, azaz a jelszó-visszaállítás a Passport szerveren. Amennyiben ugyanis az URL tartalmazta az account e-mailcímét, ennek begépelése után a Passport szerver visszaküldött egy linket, melynek révén alapértelmezettre lehetett visszaállítani az accounthoz tartozó jelszót. A link követésével a támadó képessé vált az áldozat jelszavának megváltoztatására.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek