ГлавнаяНаукаВсе новости раздела
 

Новая проблема Microsoft: в "секретном вопросе" обнаружена дыра

Корреспондент.net, 2 июля 2003, 14:16
0
5

Обнаружена новая уязвимость, позволяющая злоумышленнику изменять пароли и получать доступ к учетной записи Microsoft .Net Passport.

.Net Passport - менеджер идентификации компании Microsoft. С его помощью пользователи имеют возможность использовать только e-mail адрес и пароль для подписи различных аффилированных сервисов и web-сайтов.

Уязвимость обнаружена в программном коде, использующемся для помощи пользователям, забывшим свои пароли. Microsoft использует "секретный вопрос" для идентификации легальности пользователей, которым потребовалось изменить свой пароль. Но, как сообщается в описании уязвимости, злоумышленник может манипулировать порядком получения пароля в .Net Passport и ответа на "секретный вопрос", получив пароль до проверки правильности ответа.

Для того, чтобы воспользоваться обнаруженной уязвимостью, необходимо знать e-mail жертвы и страну, в которой он проживает. В случае США необходимо в дополнение к стране знать и конкретный штат и его общепринятый код. Эти дополнительные условия несколько затрудняют применение уязвимости.

Тем не менее, на текущий момент в мире получено свыше 200 миллионов паролей .Net Passport, а у злоумышленников могут иметься имеются колоссальные списки адресов e-mail, собранных за все время существования служб типа Hotmail. Очень многие пароли находятся под угрозой, заявляет Рафаэль Нунез, старший исследователь Scientech de Venezuela in Caracas, Венесуэлла.

Также, по его словам, данная уязвимость намного более страшная, чем кажется на первый взгляд - злоумышленник при получении пароля способен использовать е-mail жертвы, другие сервисы, такие MSN instant messenger, что дает просто безграничные возможности для социального инжиниринга и сбора секретной информации.

Уязвимость была обнаружена и описана неким Виктором Мануэль Альваресом Кастро, который идентифицировал себя, как "консультант по безопасности", сообщает securitylab.ru. Компания Microsoft пока никак не прокомментировала эту информацию.

Это уже вторая уязвимость, обнаруженная в .Net Passport (в мае Файшал Рауф Данка из Пакистана сообщал о уязвимости в .Net Passport, причем именно в коде, связанном с определением пользователей, забывших свой пароль). Тогда, по заявлениям Microsoft, ошибка была устранена.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.
powered by lun.ua

ЧИТАЙТЕ ТАКЖЕ

Корреспондент.net в cоцсетях