Microsoft hat Sicherheitslücke in Hotmail geschlossen

Microsoft hat eine kritische Sicherheitslücke im Authentisierungsverfahren seines Webmail-Diensts Hotmail behoben. Sie hatte es Hackern zumindest theoretisch ermöglicht, Konten zu übernehmen. Dies gab das Unternehmen per Tweet bekannt. Kunden müssten keinerlei Aktionen durchführen, um wieder geschützt zu sein.

Die Schwachstelle hatten Forscher von Vulnerability Lab gemeldet. Der geschilderte Angriff kombiniert die Funktion zum Zurücksetzen von Passwörtern in Hotmail mit einem Firefox-Add-on namens Tamper Data. Letzteres fängt das Token ab, das den Rücksetzvorgang identifiziert. Microsofts Sicherheitsmaßnahmen überprüften nur, ob einer der Eingabewerte leer sei, in welchem Fall sie die Sitzung beendeten, heißt es in der Zusammenfassung.

“Die Schwachstelle erlaubt es einem Angreifer, das Hotmail/MSN-Passwort mit von ihm definierten Werten zurückzusetzen. So kann ein Hacker aus der Ferne den Passwortdienst nutzen, um ein eigenes Passwort einzusetzen und die Token-basierten Sicherheitsmaßnahmen zu umgehen”, steht dort. “Wird die Lücke erfolgreich ausgenutzt, resultiert dies in nicht autorisiertem Zugang zu Hotmail oder MSN.”

Obwohl die Lücke erst vergangenen Donnerstag öffentlich gemacht wurde, sollen schon zuvor Exploits im Umlauf gewseen sein. Der Blog Whitec0de vermerkt, das Verfahren verbreite sich “wie ein Lauffeuer in der Hacker-Community”. Die Opfer verlören dadurch in vielen Fällen Geld und ihre Nutzernamen. Dort ist auch von Gerüchten einer zweiten kritischen Schwachstelle in Hotmail die Rede, für die es aber noch keine Beweise gebe.

[mit Material von David Meyer, ZDNet.co.uk]