[Security Hole] net Passport ältere Accounts Passwörter

#0
02.07.2003, 17:20
Ehrenmitglied

Beiträge: 831
#1 Datum : 01.07.2003

Vulnerability : Microsoft Passport .net Accounts, die zu Beginn (vor dem Secret Question Feature) erstellt wurden

Patch : http://www.passport.net

Exploit : http://www.securiteam.com/securitynews/5RP030AAKY.html

http://www.securiteam.com/securitynews/5RP030AAKY.html


Das Microsoft .net Passport System stellt die Möglichkeit zur Verfügung, sich an einer Stelle mit einem System zu authentifizieren und so unkompliziert andere, kompatible Dienste nutzen zu können. Victor Manuel Alvarez Castro entdeckte, dass Konten, die erstellt wurden, bevor Microsoft das Secret Question Feature implementierte, sehr einfach geknackt werden können. Dafür muss dem Angreifer lediglich die Emailadresse und das Land des Benutzers - und bei Opfern aus den USA zusätzlich der Staat und die Postleitzahl (engl. zip code) - bekannt sein. Obschon diese Voraussetzungen das erfolgreiche zurücksetzen des Passworts nicht gerade erleichtern, ist sehr wahrscheinlich ein Grossteil der 200 Millionen existierenden Accounts in Gefahr. Besonders, wenn der Angreifer näheren Kontakt zum Opfer hat, dürfte das Vorhaben relativ einfach realisierbar sein. Microsoft und Hotmail.com wurde über das Problem informiert, reagierten bisher jedoch in keinster Weise darauf.

Diese Schwachstelle - schon die zweite im Passport-System innert kürzester Zeit - zeigt sehr imposant, dass ein zentraler Ansatz neben den vielen Vorteilen auch entscheidende Nachteile hat. Wird eine Sicherheitslücke entdeckt, ist das gesamte System untergraben und somit sämtliche Benutzerdaten in Gefahr. Da bei diesem spezifischen Fehler verschiedene Dinge zusammenspielen müssen, können nicht wahllos irgendwelche Konten geplündert werden. Schlimm ist nur, dass Microsoft es versäumt hat, umgehend zu reagieren.

quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: