Microsoft schließt kritische Hotmail-Lücke

Microsoft hat eine kritische Sicherheitslücke im Authentisierungsverfahren des Webmail-Diensts Hotmail behoben. Sie hatte es Hackern zumindest theoretisch ermöglicht, Konten von Microsoft-Kunden zu übernehmen. Dies machte das Unternehmen per Tweet öffentlich. Kunden müssten keinerlei Aktionen durchführen, um wieder geschützt zu sein.

Die Schwachstelle hatten Forscher von Vulnerability Lab gemeldet. Der geschilderte Angriff kombiniert die Funktion zum Zurücksetzen von Passwörtern in Hotmail mit einem Firefox-Add-on namens Tamper Data. Letzteres fängt das Token ab, das den Rücksetzvorgang identifiziert. Microsofts Sicherheitsmaßnahmen überprüften nur, ob einer der Eingabewerte leer sei, in welchem Fall sie die Sitzung beendeten, heißt es in der Zusammenfassung.

„Die Schwachstelle erlaubt es einem Angreifer, das Hotmail/MSN-Passwort mit von ihm definierten Werten zurückzusetzen. So kann ein Hacker aus der Ferne den Passwortdienst nutzen, um ein eigenes Passwort einzusetzen und die Token-basierten Sicherheitsmaßnahmen zu umgehen“, steht dort. „Wird die Lücke erfolgreich ausgenutzt, resultiert dies in nicht autorisiertem Zugang zu Hotmail oder MSN.“

Obwohl die Lücke erst vergangenen Donnerstag öffentlich gemacht wurde, sollen schon zuvor Exploits kursiert haben. Der Blog Whitec0de vermerkt, das Verfahren verbreite sich „wie ein Lauffeuer in der Hacker-Community“. Die Opfer verlören dadurch in vielen Fällen Geld und ihre wertvollen Nutzernamen. Dort ist auch von Gerüchten einer zweiten kritischen Schwachstelle in Hotmail die Rede, für die es aber noch keine Beweise gebe.

[mit Material von David Meyer, ZDNet.co.uk]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.