Microsoft hat Veränderungen am Rücksetzungsprozess für Skype-Konten vorgenommen. Damit reagiert das Unternehmen auf eine kritische Sicherheitslücke, durch die Angreifer Nutzer-Accounts einfach übernehmen konnten, ohne sie zu hacken. Dazu mussten sie nur die E-Mail-Adresse des Opfers kennen.
Nachdem Microsoft Berichte über die Schwachstelle erhalten hatte, schaltete es die Funktion zum Zurücksetzen des Skype-Passworts am Morgen vorübergehend ab. Dabei handelte es sich um eine Vorsichtsmaßnahme, wie aus einer knappen Sicherheitsmeldung hervorgeht. Inzwischen sei das Problem behoben. Man werde Kontakt zu einer kleinen Zahl Nutzer aufnehmen, die davon betroffen sein könnten und ihnen bei Bedarf helfen.
Unter anderem hatte das Sicherheitsunternehmen Trend Micro auf den unsicheren Rücksetzungsprozess hingewiesen. Ein Machbarkeitsbeweis für die Schwachstelle sei schon vor etwa drei Monaten in einem russischen Forum veröffentlicht worden. Doch erst als verschiedenen Websites die bis dahin noch immer nicht geschlossene Lücke aufgriffen, habe Microsoft reagiert. Der Autor des Proof-of-Concept erklärte, dass die Schwachstelle auf breiter Basis ausgenutzt wurde und viele seiner eigenen Kontakte davon betroffen waren.
Bisher konnten Cyberkriminelle Konten von Skype-Nutzer übernehmen, indem sie ein neues Konto anlegten und mit der E-Mail-Adresse des Opfers verknüpften. Durch einen Fehler im Prozess für das Zurücksetzen des Passworts waren sie anschließend in der Lage, das Kennwort für das Skype-Konto, das der missbrauchten E-Mail-Adresse ursprünglich zugeordnet war, gegen ein neues auszutauschen. Laut Trend Micro ließ sich auf diese Weise ein Skype-Konto innerhalb weniger Minuten kapern.
Dass Cloud-Dienste über die – erforderliche Möglichkeit-, Passwörter zurückzusetzen, angreifbar sind, mussten dieses Jahr auch schon Apple und Amazon erfahren. Einfallstor war bei Apple die telefonische Passwortrücksetzung für den Dienst iCloud. Damit gelang es einem Angreifer im August, die Kontrolle über das iPhone, iPad und MacBook des US-Journalisten Mat Honan zu übernehmen. Er leitete einen Reset der iOS-Geräte sowie die Fernlöschung des Notebooks ein. Und da Honan unvorsichtigerweise eine von Apple vergebene E-Mail-Adresse auch anderen Diensten zugeordnet hatte, konnte sich der Hacker ebenfalls Zugang zum Gmail-Konto verschaffen, das er löschte. Darüber hinaus griff er auf das Twitter-Konto des Journalisten sowie das seines ehemaligen Arbeitgebers zu und verbreitete darüber für den eigentlichen Account-Inhaber unangenehme Nachrichten.
[mit Material von Peter Marwan, ITespresso.de]
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
