السبت، 28 أبريل، 2012

ثغرة في بريد الهوت ميل خطيرة

ahmed muslim | 8:01 ص | | | |



ثغرة في خدمة البريد الالكتروني  Hotmail، تسمح لمستغلّيها بتغيير (reset) كلمة المرور الخاصة بأي حساب بريد الكتروني على خدمة MSN Hotmail Live واستبدالها بكلمة مرور جديدة دون الحاجة للحصول على أي معلومات خاصة بالحساب.
 وفقاً لـ Benjamin Kunz Mejri مكتشف الثغرة، فإنه بإمكان المهاجمين عن بعد تجاوز آليات الحماية الموجودة في خدمة “استعادة كلمة المرور”، حيث تقوم آلية حماية الـ token بالتحقق (فقط) من وجود قيمة ومن ثم تقوم بحجب الوصول أو غلق جلسة العمل.
يمكن للمهاجمين تجاوز هذه الحماية من خلال تمرير القيمة التالية :
 +++)- 
 وسيكون قادر على تغيير كلمة المرور للحساب المطلوب والحصول على حق دخول غير مشروع .
تجدر الإشارة أيضاً إلى أنه يمكن للمهاجم فك حماية CAPTCHA التي تحد من خطورة هجمات brute-force، ويكون بإمكانه بعدها إرسال طلبات متكررة إلى الخدمة بغية تحقيق أهدافه الخبيثة .
ولحسن حظ Microsoft فإن هذه الحالة كانت بمجملها نصراً لها، أولاً لأن مكتشف الثغرة قرر مراسلة Microsoft بتفاصيلها بدلاً من تسريبها عبر الانترنت أو بيعها لجهات مجهولة، وثانياً لأنه منح Microsoft الأسبقية في تصحيح الثغرة قبل تفاقم خطورتها، حيث قامت بإصدار ترقيع لها خلال يومين تقريباً من تاريخ التبليغ والتأكد من وجود  الثغرة.
Report-Timeline:
================
2012-04-06: Researcher Notification & Coordination
2012-04-20: Vendor Notification by VoIP Conference
2012-04-20: Vendor Response/Feedback
2012-04-21: Vendor Fix/Patch
2012-04-26: Public or Non-Public Disclosure


ليست هناك تعليقات:

إرسال تعليق

Twitter Delicious Facebook Digg Stumbleupon Favorites More

Search