sabato 28 aprile 2012

Hotmail: violati account tramite password reset, Microsoft patcha vulnerabilità



Microsoft avrebbe risolto una grave vulnerabilità in Hotmail, che permetteva agli hacker di reimpostare le password degli account, bloccando il vero proprietario dell'account e dando gli aggressori l'accesso alle caselle di posta degli utenti. La notizia del bug critico si è diffusa rapidamente nei forum metropolitani di hacking, e Whitec0de ha riportato all'inizio di questa settimana che gli hacker offrivano la possibilità di entrare in un account Hotmail per 20 dollari. Sembra che la vulnerabilità esisteva nella funzione di reset della password di Hotmail (https://account.live.com/ResetPassword.aspx)

Gli hacker erano in grado di utilizzare un add-on Firefox chiamato Tamper Data per bypassare le protezioni normali messe in atto per proteggere gli account Hotmail. L'exploit è stato scoperto da un hacker in Arabia Saudita che è un membro del forum sulla sicurezza popolare dev-point.com. A quanto pare l'exploit è trapelato sui forum di dark-web hacking. Tutto l'inferno si è scatenato quando un membro di un forum molto popolare di hacking ha offerto il suo servizio che può hackerare 'qualsiasi' account e-mail entro un minuto. "L'exploit si è propagato a macchia d'olio in tutta la comunità degli hacker.


Molti utenti che hanno legato il loro account di posta elettronica ai servizi finanziari come Paypal e Liberty Reserve sono stati presi di mira e il denaro saccheggiato via. Mentre molti altri hanno perso i loro account Facebook e Twitter", spiega Ed Bot di ZDnet. Un rapporto pubblicato da Vulnerability-Lab ha descritto la vulnerabilità e ha fornito un calendario per la divulgazione e la correzione. Il bollettino ha valutato la gravità come "Critica", sulla base di questa descrizione:

"Una vulnerabilità critica è stata trovata nella funzionalità ufficiale di password reset del servizio ufficiale MSN Hotmail di Microsoft. La vulnerabilità permette ad un aggressore per ripristinare la password Hotmail / MSN con i valori scelti dall'attaccante. Gli aggressori remoti possono bypassare il servizio di recupero password per impostare una nuova password e bypassare le protezioni poste (token based). Il token di protezione controlla solo se il valore è vuoto poi blocca o chiude la sessione web. Un attaccante remoto può, ad esempio aggirare il token di protezione con valori '+ + +)-'. Il successo dello sfruttamento dei risultati danno l'accesso non autorizzato all'account MSN o Hotmail. Un utente malintenzionato in grado di decodificare il CAPTCHA e inviare i valori automatizzati nel modulo di MSN Hotmail".

Il bollettino dice che Microsoft ha risolto la vulnerabilità il 20 aprile 2012, anche se la notizia è stata diffusa nelle scorse. La linea temporale più dettagliata mette il Fix / Patch data del vendor il giorno successivo:

Report-Timeline:
================
  • 2012/04/06: Notifica Ricercatore e Coordinamento 
  • 2012/04/20: Notifica fornitore da conferenza VoIP
  • 2012/04/20: Risposta del fornitore / Feedback 
  • 2012/04/21: Fix Vendor / Patch 
  • 2012/04/26: divulgazione al pubblico o non pubblico

Durante almeno una parte di quel gap di due settimane, la vulnerabilità è stata ampiamente sfruttata, dichiara una fonte. L'exploit in sé era molto semplice. Secondo il rapporto esso consisteva nell'utilizzare una add-on per Firefox chiamato Tamper Data che permette all'utente di intercettare la richiesta HTTP in uscita dal browser in tempo reale e modificare i dati. Tutto ciò che l'attaccato doveva fare era quello di selezionare l'opzione "Ho dimenticato la mia password" e selezionare "Invia a me un link reset" e avviare i Tamper Data in Firefox e modificare i dati in uscita.


Numerosi i video di YouTube che hanno dimostrato il proof of concept per ottenere l'accesso agli account Hotmail. Secondo alcuni rapporti, gli hacker marocchini hanno attivamente approfittato della vulnerabilità e pianificato per reimpostare le password di un elenco di 13 milioni di utenti Hotmail in loro possesso. Ciò che non è noto è quali account di Hotmail dei 350 milioni di utenti potrebbero essere stati influenzati dalla grave vulnerabilità di sicurezza, Microsoft infatti non lo ha reso noto.

Il pericolo potrebbe essere ancor maggiore nel caso in cui l’account Hotmail fosse utilizzato per i servizi Windows Live o per l'accesso a Facebook. "Ma se siete preoccupati, c'è un modo semplice per controllare. L'account Hotmail hackerato avrebbe avuto la propria password cambiata, quindi se non siete più in grado di accedere al vostro account Hotmail è possibile (anche se tutt'altro che definitiva - ci possono essere altre ragioni, naturalmente) che il vostro account di posta elettronica è stato vittima di questo tipo di attacco", spiega Graham Cluley di Sophos. Se si riesce ad accedere al proprio account senza problemi, significa che non si è rimasti vittima dell’attacco.

1 commento: