Eagle Creek
Verenigingslid
- Lid geworden
- 3 okt 2002
- Berichten
- 26.338
Lek in Passport maakt Hotmail kwetsbaar
Dinsdag, 1 juli 2003 - Experts hebben een lek ontdekt in Passport. Aanvallers kunnen hiermee een account overnemen en zodoende toegang krijgen tot Hotmail.
.Net Passport is Microsofts identificatiedienst. Gebruikers hoeven hierbij slechts één keer in te loggen. Hierna hebben zij automatisch toegang tot deelnemende sites en diensten, waaronder Hotmail.
Het beveiligingslek is door beveiligingsconsultant Victor Manuel Alvarez Castro gepubliceerd op Insecure.org. Volgens Castro zit het probleem in de functie die gebruikers helpt een verloren wachtwoord op te vragen.
De geheime vraag in deze procedure kan door kwaadwillenden worden gemanipuleerd, waarna zij de controle over het Passport-account krijgen.
Volgens de beveiligingsexpert kunnen de aanvallers zodoende ook het bijbehorende Hotmail-account overnemen. Het lek is overigens alleen te misbruiken bij oudere Passport-accounts. Accounts die zijn aangemaakt nadat Microsoft de geheime vraag invoerde, zijn niet kwetsbaar.
Volgens Castro is het lek vrij gemakkelijk te misbruiken. Indien voor een account geen geheime vraag is ingevuld, kan deze door een andere gebruiker worden aangemaakt. Het wachtwoord voor de account kan hierop worden gewijzigd. Voorwaarde is wel dat de aanvaller het mailadres en land van herkomst kent.
Castro zegt Microsoft op de hoogte te hebben gebracht van het lek. Tijdens het schrijven van dit artikel was het niet mogelijk om een vergeten wachtwoord op te vragen.
Begin mei werd een soortgelijk lek ontdekt door Muhammed Faisal Rauf Danka. De Pakistaan publiceerde zijn bevinding op de mailinglist Full Disclosure.
Binnen vier uur had Microsoft dit lek gedicht. Eerder was op de meer dan tien e-mails die Danka sinds 12 april naar het softwareconcern had gestuurd, geen reactie gekomen.
Microsoft was (nog) niet in staat te reageren.
http://www.webwereld.nl/nav/nb?15504
Dinsdag, 1 juli 2003 - Experts hebben een lek ontdekt in Passport. Aanvallers kunnen hiermee een account overnemen en zodoende toegang krijgen tot Hotmail.
.Net Passport is Microsofts identificatiedienst. Gebruikers hoeven hierbij slechts één keer in te loggen. Hierna hebben zij automatisch toegang tot deelnemende sites en diensten, waaronder Hotmail.
Het beveiligingslek is door beveiligingsconsultant Victor Manuel Alvarez Castro gepubliceerd op Insecure.org. Volgens Castro zit het probleem in de functie die gebruikers helpt een verloren wachtwoord op te vragen.
De geheime vraag in deze procedure kan door kwaadwillenden worden gemanipuleerd, waarna zij de controle over het Passport-account krijgen.
Volgens de beveiligingsexpert kunnen de aanvallers zodoende ook het bijbehorende Hotmail-account overnemen. Het lek is overigens alleen te misbruiken bij oudere Passport-accounts. Accounts die zijn aangemaakt nadat Microsoft de geheime vraag invoerde, zijn niet kwetsbaar.
Volgens Castro is het lek vrij gemakkelijk te misbruiken. Indien voor een account geen geheime vraag is ingevuld, kan deze door een andere gebruiker worden aangemaakt. Het wachtwoord voor de account kan hierop worden gewijzigd. Voorwaarde is wel dat de aanvaller het mailadres en land van herkomst kent.
Castro zegt Microsoft op de hoogte te hebben gebracht van het lek. Tijdens het schrijven van dit artikel was het niet mogelijk om een vergeten wachtwoord op te vragen.
Begin mei werd een soortgelijk lek ontdekt door Muhammed Faisal Rauf Danka. De Pakistaan publiceerde zijn bevinding op de mailinglist Full Disclosure.
Binnen vier uur had Microsoft dit lek gedicht. Eerder was op de meer dan tien e-mails die Danka sinds 12 april naar het softwareconcern had gestuurd, geen reactie gekomen.
Microsoft was (nog) niet in staat te reageren.
http://www.webwereld.nl/nav/nb?15504
.
