2012年5月2日 星期三

微軟修復Hotmail 帳密外洩漏洞


微軟修復Hotmail 帳密外洩漏洞

該漏洞出現在Hotmail重置密碼的模組。駭客可以藉以避開微軟的令牌保護機制完成變更密碼,並取得Hotmail帳號及其他Windows Live服務的控制權。 

微軟安全團隊上週五(4/27)透過Twitter表示,他們解決一個Hotmail密碼重置的問題以保護用戶。

提報該問題給微軟的Vulnerability Lab(漏洞實驗室)表示,該漏洞由Benjamin Kunz Mejri(匿稱Rem0ve)所發現,他們在4/6發現漏洞並通知微軟,微軟在4/20與他們聯繫,並在隔日修復完成。

該漏洞出現在Hotmail重置密碼的模組。駭客利用Firefox附加元件Tamper Data攔截並將特殊的數值填入令牌(Token),再送出重置密碼的HTTP請求,可以避開微軟的令牌保護機制完成變更密碼,取得Hotmail帳號及其他Windows Live服務的控制權。該漏洞並在4月26日已遭公開。

根據資安網站whitec0de報導,阿拉伯文資安論壇的Saudi Arabia可能是第一個公開此漏洞相關訊息的人,隨後地下駭客論壇出現只要20美元就可以破解任何Hotmail信箱的廣告。

媒體報導摩洛哥地區的駭客取得1300萬個Hotmail帳號,並猜測許多簡潔、有字意的信箱可能都被移轉盜用,例如ab@hotmail.com、xxx@hotmail.com等。也有用戶回報PayPal等金融相關帳號內的款項遭移轉。微軟沒有公布受影響的帳號數目。(編譯/沈經)

轉載自《iThome