Microsoft schließt schwere Schwachstelle in Hotmail

Microsoft, Mail, Hotmail Bildquelle: Microsoft
Microsoft hat ohne öffentliche Ankündigung eine schwerwiegende neu entdeckte Schwachstelle bei seinem Webmailer Hotmail geschlossen. Die Lücke bestand in dem von Hotmail zur Zurücksetzung von Passwörtern der Nutzer verwendeten System.
Wie 'Ars Technica' berichtet, war es am letzten Freitag für einen Zeitraum von unbekannter Dauer möglich, dass jeder beliebige Nutzer des Passwort eines anderen Hotmail-Kontos zurücksetzen konnte. Microsoft wurde bereits am 20. April über das Problem informiert und reagierte innerhalb von Stunden mit entsprechenden Gegenmaßnahmen.

Die Schwachstelle konnte zwar in relativ kurzer Zeit geschlosse werden, wurde aber zuvor bereits massiv ausgenutzt. Angaben aus Hacker-Kreisen zufolge gab es eine große Zahl von Angriffen, mit denen Unbefugten sich Zugriff auf Hotmail-Konten unbedarfter Nutzer des Dienstes verschafften.

Das Passwort-System von Hotmail setzt auf einen Token, der an eine mit dem Konto verknüpfte Adresse geschickt wird, um sicherzustellen, dass nur der echte Besitzer eines Konto das Passwort zurücksetzen kann. Die Prüfung der Tokens durch Hotmail funktionierte durch die Schwachstelle jedoch nicht, so dass Angreifer das Passwort beliebiger Konten zurücksetzen konnten.

Anfangs boten dubiose Angreifer an, gegen Zahlung von 20 US-Dollar beliebige Hotmail-Konten zu knacken. Der dafür verwendete Ansatz wurde jedoch schnell öffentlich bekannt, so dass es binnen kurzer Zeit entsprechende Anleitungen gab, die unter anderem via YouTube verbreitet wurden. Schon seit Anfang April gibt es Videos, in denen die Angriffstaktik offenbar beschrieben wird.

Siehe auch: Jedes Hotmail-Konto für 20 Dollar knacken lassen

Die Lücke wurde laut dem Sicherheitsdienstleister Vulnerability Lab bereits am 6. April entdeckt, aber erst am 20. April an Microsoft gemeldet. Auch ein saudi-arabischer Hacker beansprucht, die Schwachstelle entdeckt zu haben, was auch die große Zahl der in arabischer Sprache verfügbaren Anleitungen zur Ausnutzung der Lücke erklären könnte. Microsoft, Mail, Hotmail Microsoft, Mail, Hotmail Microsoft
Mehr zum Thema: Outlook.com
Diese Nachricht empfehlen
Kommentieren23
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Tipp einsenden