Microsoft hat Sicherheitslücke in Hotmail geschlossen

Angreifer konnten sich durch die Schwachstelle Zugang zu fremden Konten verschaffen. Ein Exploit soll schon vor der Veröffentlichung im Umlauf gewesen sein. Nutzer müssen von sich aus nicht aktiv werden.

von Florian Kalenda 0


Microsoft hat eine kritische Sicherheitslücke im Authentisierungsverfahren seines Webmail-Diensts Hotmail behoben. Sie hatte es Hackern zumindest theoretisch ermöglicht, Konten zu übernehmen. Dies gab das Unternehmen per Tweet bekannt. Kunden müssten keinerlei Aktionen durchführen, um wieder geschützt zu sein.

Die Schwachstelle hatten Forscher von Vulnerability Lab gemeldet. Der geschilderte Angriff kombiniert die Funktion zum Zurücksetzen von Passwörtern in Hotmail mit einem Firefox-Add-on namens Tamper Data. Letzteres fängt das Token ab, das den Rücksetzvorgang identifiziert. Microsofts Sicherheitsmaßnahmen überprüften nur, ob einer der Eingabewerte leer sei, in welchem Fall sie die Sitzung beendeten, heißt es in der Zusammenfassung.

“Die Schwachstelle erlaubt es einem Angreifer, das Hotmail/MSN-Passwort mit von ihm definierten Werten zurückzusetzen. So kann ein Hacker aus der Ferne den Passwortdienst nutzen, um ein eigenes Passwort einzusetzen und die Token-basierten Sicherheitsmaßnahmen zu umgehen”, steht dort. “Wird die Lücke erfolgreich ausgenutzt, resultiert dies in nicht autorisiertem Zugang zu Hotmail oder MSN.”

Obwohl die Lücke erst vergangenen Donnerstag öffentlich gemacht wurde, sollen schon zuvor Exploits im Umlauf gewseen sein. Der Blog Whitec0de vermerkt, das Verfahren verbreite sich “wie ein Lauffeuer in der Hacker-Community”. Die Opfer verlören dadurch in vielen Fällen Geld und ihre Nutzernamen. Dort ist auch von Gerüchten einer zweiten kritischen Schwachstelle in Hotmail die Rede, für die es aber noch keine Beweise gebe.

[mit Material von David Meyer, ZDNet.co.uk]

ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Möchten nicht auch Sie wissen, wie zufrieden andere Anwender mit der Nutzung ihrer CRM-Anwendung imSaaS-Modell sind, warum sie sich dagegen entschieden haben oder sich gar nicht damit beschäftigen wollen? Diesen und anderen Fragen geht Hassan Hosseini von The-Industry-Analyst.com in Kooperation mit dem Herausgeber von silicon.de in der aktuellen Umfrage zur CRM Nutzung als "Software as a Service" in Deutschland nach.

Jetzt teilnehmen!

Letzter Kommentar




0 Antworten zu Microsoft hat Sicherheitslücke in Hotmail geschlossen

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>