В Hotmail устранена критическая уязвимость

image

Теги: Hotmail, почта, уязвимость

Используя брешь, злоумышленники могли сбросить пароли пользователей службы Hotmail.

В почтовой службе Hotmail от корпорации Microsoft была обнаружена критическая уязвимость, позволяющая изменять пользовательские пароли. О наличии уязвимости практически одновременно стало известно компании Vulnerability Lab и ряду хакерских организаций из Ближнего Востока.

«Уязвимость позволяет хакеру устанавливать произвольные Hotmail/MSN пароли. Удаленные пользователи могут обойти службу восстановления паролей и установить новый пароль, а также обойти защиту (основанную на токенах)», - говорится в уведомлении специалистов Vulnerability Lab.

«Защита токенов всего лишь проверяет заполненность значений, а затем блокирует или закрывает web-сессию. Удаленный пользователь может, например, обойти защиту токенов с помощью значений «+++)-». Успешная эксплуатация приводит к неавторизованному доступу к учетным записям в MSN или Hotmail. Злоумышленник может декодировать CAPTCHA и отправлять автоматизированные значения через модуль MSN Hotmail», - сообщают эксперты.

Независимый исследователь безопасности Навин Такур (Naveen Thakur) рассказывает о видеоролике с описанием эсплоита, который ему довелось увидеть: «Для него требуется использование расширения для Firefox под названием Tamper Data, которое позволяет пользователю перехватить исходящий HTTP запрос браузера и изменить данные. Атакующему необходимо только выбрать опцию «Я забыл пароль», а затем «Отправить мне ссылку на сбрасывание» и запустить Tamper Data в Firefox для изменения исходящих данных», - пишет Такур.

По словам исследователя, уязвимость очень легко эксплуатировать и она быстро получила широкое распространения в различных хакерских форумах.

Исследователи Vulnerability Lab обнаружили брешь 6 апреля этого года и передали информацию о ней в Microsoft Security Response Center. Временное исправление к бреши было установлено 21 апреля, в результате которого, при попытке эксплуатации на системе злоумышленника отображалось окно «Server Error».


или введите имя

CAPTCHA
Bill
27-04-2012 14:49:36
MSN? Hotmail? What is it?
0 |