Ispravljen 'password reset' bag u Hotmailu korišćen u napadima prethodne dve nedelje

Vesti, 27.04.2012, 09:49 AM

Ispravljen 'password reset' bag u Hotmailu korišćen u napadima prethodne dve nedelje

Microsoft je objavio ispravku za bag u Hotmailu koji su skoro istovremeno otkrili istraživači Vulnerability Lab i haker iz Saudijske Arabije koji je član popularnog foruma posvećenog temama iz oblasti kompjuterske bezbednosti Dev-point.com. Kod exploita je procureo i brzo se širio na hakerskim forumima, a prema onome što je objavio WhiteC0de, uprkos brzoj reakciji Microsofta, exploit je korišćen za komproitovanje Hotmail naloga.

Otkrivena ranjivost u Hotmailu omogućava napadaču da resetuje Hotmail/MSN lozinku vrednostima koje napadač odabere. Udaljeni napdač može da zaobiđe uslugu oporavka lozinke i postavi novu lozinku ali i da zaobiđe zaštitu koju pruža token. Token blokira ili zatvara veb sesiju samo ako je polje za uno vrednosti prazno. Haker može, primera radi, zaobići zaštitu tokena vrednostima '+++)-' i tako omogućiti sebi neovlašćeni pristup MSN ili Hotmail nalogu. Napadač može dekodirati CAPTCHA i poslati automatizovane vrednosti preko MSN Hotmail modula.

Za napade je korišćen dodatak za Firefox pod nazivom Tamper Data koja koji omogućava da korisnik presreće izlazni HTTP zahtev brauzera u realnom vremenu i menja podatke. Sve što napadač treba da uradi je da odabere “I forgot my Password” i zatim “Email me a reset link” i pokrene Tamper Data u Firefoxu i promeni odlazne podatke.

Korisnici čijim je Hotmail nalozima pristupano na ovakav način mogli su da primete da se nešto dešava sa njihovim nalozima s obzirom da lozinka tako kompromitovanog naloga više ne funkcioniše. Najveću štetu pretrpeli u korisnici Hotmaila čiji je nalog povezan sa drugim nalozima kao što su PayPal, Facebook i Twitter, koji su takođe kompromitovani nakon hakovanja Hotmail naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje