Microsoft je prejšnji teden zamašil resno varnostno luknjo v svoji storitvi za ponastavitev gesla Hotmail, potem ko eno poročilo trdi, da je bila široko izkoriščena.
26. april, 15:00 PDT: Microsoft potrjuje obstoj napake in popravka. Oglejte si posodobitev na koncu objave.
Microsoft je uvedel popravek za ranljivost pri ponastavitvi gesla Hotmail, ki naj bi jo več dni izkoriščali v naravi.
Objavljeno poročilo danes v Vulnerability-Lab opisal ranljivost in podal časovnico za njeno razkritje in popravek.
Bilten je na podlagi tega opisa ocenil resnost kot "kritično":
V funkciji ponastavitve gesla Microsoftove uradne storitve MSN Hotmail je bila najdena kritična ranljivost. Ranljivost omogoča napadalcu, da ponastavi geslo Hotmail/MSN z vrednostmi, ki jih izbere napadalec. Oddaljeni napadalci lahko zaobidejo storitev za obnovitev gesla, da nastavijo novo geslo in zaobidejo zaščite na mestu (na podlagi žetonov). Zaščita žetona samo preveri, ali je vrednost prazna, nato pa blokira ali zapre spletno sejo. Oddaljeni napadalec lahko na primer obide zaščito žetona z vrednostmi “+++)-“. Posledica uspešnega izkoriščanja je nepooblaščen dostop do računa MSN ali Hotmail. Napadalec lahko dekodira CAPTCHA in pošlje avtomatizirane vrednosti prek modula MSN Hotmail.
V biltenu piše, da je Microsoft 20. aprila 2012 odpravil ranljivost. Na podrobnejši časovnici je datum popravka/popravljanja dobavitelja en dan pozneje:
Časovnica poročila:
2012-04-06: Obveščanje in usklajevanje raziskovalcev.
20. 4. 2012: Obvestilo prodajalca s konference VoIP.
2012-04-20: Odgovor/povratna informacija prodajalca.
2012-04-21: Popravek dobavitelja.
2012-04-26: Javno ali nejavno razkritje
Med vsaj delom te dvotedenske vrzeli je bila ranljivost široko izkoriščena, pravi en vir.
Poročilo na Whitec0de.com ugotavlja, da je v dveh tednih med odkritjem ranljivosti in uvedbo popravka na strani strežnika izkoriščanje pobegnilo v divjino:
Izkoriščanje je prvi odkril heker iz Savdske Arabije, ki je član priljubljenega varnostnega foruma dev-point.com. Očitno je izkoriščanje pricurljalo na hekerske forume za temni splet. Hudič se je začel, ko je član zelo priljubljenega hekerskega foruma ponudil svojo storitev, da lahko v eni minuti vdre v »poljubne« e-poštne račune.
Izkoriščanje se je sčasoma razširilo kot divji požar po hekerski skupnosti. Številni uporabniki, ki so svoj e-poštni račun povezali s finančnimi storitvami, kot sta Paypal in Liberty Reserve, so bili tarča in denar je bil izropan. Medtem ko so mnogi drugi izgubili račune na Facebooku in Twitterju.
Glede na to poročilo je primarni vektor napada uporabil dodatek za Firefox, imenovan Tamper Data:
Izkoriščanje je bilo samo po sebi zelo preprosto. Vključuje uporabo dodatka za Firefox, imenovanega Tamper Data, ki uporabniku omogoča, da prestreže odhodno zahtevo HTTP iz brskalnika v realnem času in spremeni podatke. Vse, kar so napadeni morali storiti, je bilo, da so izbrali »Pozabil sem geslo« in izbrali »Pošlji mi povezavo za ponastavitev po e-pošti« ter zagnali Tamper Data v firefoxu in spremenili odhodne podatke. Pojavili so se številni videoposnetki na YouTubu, ki dokazujejo koncept.
Ogledal sem si enega od teh videoposnetkov, ki kaže, da je račun Hotmail ogrožen v realnem času.
Do zdaj še nihče ni razkril, kako dolgo je bila koda izkoriščanja v uporabi ali koliko računov Hotmail je bilo morda ogroženih.
Bi vas moralo skrbeti? Na podlagi teh poročil bi takoj vedeli, ali je bil vaš račun spremenjen, saj vaše geslo ne bi več delovalo. Najbolj ste ogroženi, če ste Windows Live povezali z drugimi storitvami.
Tiskovni predstavnik Microsofta, ki smo ga prosili za komentar, je potrdil obstoj varnostne napake in popraviti, vendar ni ponudil dodatnih podrobnosti: "V petek smo obravnavali incident s ponastavitvijo gesla funkcionalnost; za stranke ni ukrepanja, saj so zaščitene."