Microsoft ترقع ثغرة Hotmail تُمكّن من تغيير كلمة مرور الحسابات
ناقلت الألسن مؤخرًا أخبارًا عن وجود ثغرة في خدمة البريد الالكتروني ذائعة الصيت Microsoft Hotmail، تسمح هذه الثغرة لمستغلّيها بتغيير (reset) كلمة المرور الخاصة بأي حساب بريد الكتروني على خدمة MSN Hotmail Live واستبدالها بكلمة مرور جديدة دون الحاجة للحصول على أي معلومات خاصة بالحساب.
ووفقاً لـ Benjamin Kunz Mejri مكتشف الثغرة، فإنه بإمكان المهاجمين عن بعد تجاوز آليات الحماية الموجودة في خدمة “استعادة كلمة المرور”، حيث تقوم آلية حماية الـ token بالتحقق من وجود قيمة ومن ثم تقوم بحجب الوصول أو غلق جلسة العمل.
يمكن للمهاجمين تجاوز هذه الحماية من خلال تمرير القيمة “+++)-” (بدون إشارات الاقتباس) وسيغدو بإمكانهم تغيير كلمة المرور للحساب المطلوب والحصول على حق دخول غير مشروع.
تجدر الإشارة أيضاً إلى أنه يمكن للمهاجم فك حماية CAPTCHA التي تحد من خطورة هجمات brute-force، ويكون بإمكانه بعدها إرسال طلبات متكررة إلى الخدمة بغية تحقيق أهدافه الخبيثة.
ولحسن حظ Microsoft فإن هذه الحالة كانت بمجملها نصراً لها، أولاً لأن مكتشف الثغرة قرر مراسلة Microsoft بتفاصيلها بدلاً من تسريبها عبر الانترنت أو بيعها لجهات مجهولة، وثانياً لأنه منح Microsoft الأسبقية في تصحيح الثغرة قبل تفاقم خطورتها، حيث قامت بإصدار ترقيع لها خلال يومين تقريباً من تاريخ التبليغ والتأكد من وجود الثغرة.