У Microsoft опять проблемы с защитой. На этот раз – в .Net Passport

Обнаружена новая уязвимость, позволяющая злоумышленнику изменять пароли и получать доступ к учетной записи Microsoft .Net Passport, как сообщается в листе обнаруженных уязвимостей.

.Net Passport – менеджер идентификации компании Microsoft. С его помощью пользователи имеют возможность использовать только e-mail адрес и пароль для подписывания различных аффилированных сервисов и web-сайтов.

Уязвимость обнаружена в программном коде, использующемся для помощи пользователям, забывшим свои пароли. Microsoft использует «секретный вопрос» для идентификации легальности пользователей, которым потребовалось изменить свой пароль. Но, как сообщается в описании уязвимости, злоумышленник может манипулировать порядком получения пароля в .Net Passport и ответа на «секретный вопрос», получив пароль до проверки правильности ответа. Уязвимость была обнаружена и описана Виктором Мануэль Альваресом Кастро, который идентифицировал себя, как «консультант по безопасности».

Сама Microsoft пока никак не прокомментировала сообщение.

Для того, чтобы воспользоваться этой уязвимостью, необходимо знать e-mail жертвы и страну, в которой он проживает. В случае США необходимо в дополнение к стране знать и конкретный штат и его общепринятый код. Эти дополнительные условия несколько затрудняют применение уязвимости, по словам Рафаэля Нунеза, старшего исследователя Scientech de Venezuela in Caracas (Венесуэлла), известного в сетевом сообществе под псевдонимом [RaFa].

Тем не менее, на текущий момент в мире получено свыше 200 миллионов паролей .Net Passport, а у злоумышленников могут иметься имеются колоссальные списки адресов e-mail, собранных за все время существования служб типа Hotmail. Очень многие пароли находятся под угрозой, заявляет Нунез. Также, по его словам, данная уязвимость намного более страшная, чем кажется на первый взгляд – злоумышленник при получении пароля способен использовать е-mail жертвы, другие сервисы, такие MSN instant messenger, что дает просто безграничные возможности для социального инжиниринга и сбора секретной информации…

Что интересно, это уже вторая уязвимость, обнаруженная в .Net Passport (напомню, что в мае Файшал Рауф Данка из Пакистана сообщал о уязвимости в .Net Passport, причем именно в коде, связанном с определением пользователей, забывших свой пароль). Тогда, по заявлениям Microsoft, ошибка была устранена. Однако менее чем через месяц в уже тщательно проверенном корпорацией участке кода обнаруживается такая же ошибка…