Hotmail & Passport (.NET Accounts) Big BuG de sécurité

K-Otik (France) - Une équipe d'informaticiens vient de révéler un problème critique dans la sécurité des comptes Hotmail & Passport (.NET) de Microsoft. En effet cette faille de sécurité, très grave, et très facilement exploitable, se situe dans le mécanisme de récupération des mots de passe du passeport (en cas de perte). Un utilisateur ou un pirate peut, grâce à cette faille changer le mot de passe de n'importe quel compte Hotmail ou Passport (.NET) grâce à une simple URL. La simplicité de cette attaque met en danger les milliers de comptes Hotmail et Passport (.NET), voici les détails techniques :

Pour changer le mot de passe du compte par exemple , un attaquant se rend à l'adresse :

https://register.passport.net/emailpwdreset.srf?lc=1033&em=&id=&cb=&prefem=&rst=1

Cette URL permet à l'attaquant de recevoir à son adresse , le lien suivant :

http://register.passport.net/EmailPage.srf?EmailID=AX23....&URLNum=0&lc=1033

Il suffira ensuite de cliquer sur ce lien, et de changer le mot de passe de la victime, en toute simplicité.

Le système vulnérable n'est plus en ligne. Microsoft à décidé (heureusement) d'
arrêter le dispositif touché par ce problème, et de désactiver l'option "Récupérer Le Mot de Passe", en attendant la sécurisation totale du système. Donc pas de week-end cette semaine pour l'équipe technique de Microsoft.

 

 Audits de Sécurité & Tests Intrusifs F-VNS Security™  Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits