Microsoft schließt kritische Hotmail-Lücke

Nutzer müssen keine Schritte zur Absicherung unternehmen. Hacker konnten sich durch die Schwachstelle Zugang zu fremden Konten verschaffen. Ein Exploit soll schon vor der Veröffentlichung kursiert sein.

Microsoft hat eine kritische Sicherheitslücke im Authentisierungsverfahren des Webmail-Diensts Hotmail behoben. Sie hatte es Hackern zumindest theoretisch ermöglicht, Konten von Microsoft-Kunden zu übernehmen. Dies machte das Unternehmen per Tweet öffentlich. Kunden müssten keinerlei Aktionen durchführen, um wieder geschützt zu sein.

Logo von Microsoft Hotmail

Die Schwachstelle hatten Forscher von Vulnerability Lab gemeldet. Der geschilderte Angriff kombiniert die Funktion zum Zurücksetzen von Passwörtern in Hotmail mit einem Firefox-Add-on namens Tamper Data. Letzteres fängt das Token ab, das den Rücksetzvorgang identifiziert. Microsofts Sicherheitsmaßnahmen überprüften nur, ob einer der Eingabewerte leer sei, in welchem Fall sie die Sitzung beendeten, heißt es in der Zusammenfassung.

„Die Schwachstelle erlaubt es einem Angreifer, das Hotmail/MSN-Passwort mit von ihm definierten Werten zurückzusetzen. So kann ein Hacker aus der Ferne den Passwortdienst nutzen, um ein eigenes Passwort einzusetzen und die Token-basierten Sicherheitsmaßnahmen zu umgehen“, steht dort. „Wird die Lücke erfolgreich ausgenutzt, resultiert dies in nicht autorisiertem Zugang zu Hotmail oder MSN.“

Obwohl die Lücke erst vergangenen Donnerstag öffentlich gemacht wurde, sollen schon zuvor Exploits kursiert haben. Der Blog Whitec0de vermerkt, das Verfahren verbreite sich „wie ein Lauffeuer in der Hacker-Community“. Die Opfer verlören dadurch in vielen Fällen Geld und ihre wertvollen Nutzernamen. Dort ist auch von Gerüchten einer zweiten kritischen Schwachstelle in Hotmail die Rede, für die es aber noch keine Beweise gebe.

[mit Material von David Meyer, ZDNet.co.uk]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Themenseiten: E-Mail, Internet, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft schließt kritische Hotmail-Lücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *