Microsoft ترقع ثغرة في بريد Hotmail كانت تُمكّن من تغيير كلمة مرور الحسابات المُستهدفة عن بُعد

نُشر يوم 27 أبريل 2012 بواسطة Xacker

تناقلت الألسن مؤخرًا أخبارًا عن وجود ثغرة في خدمة البريد الالكتروني ذائعة الصيت** Microsoft Hotmail**، تسمح هذه الثغرة لمستغلّيها بتغيير (**reset**) كلمة المرور الخاصة بأي حساب بريد الكتروني على خدمة **MSN Hotmail Live** واستبدالها بكلمة مرور جديدة دون الحاجة للحصول على أي معلومات خاصة بالحساب.

ميكروسوفت ترقع ثغرة في بريد هوتميل

 ووفقاً لـ Benjamin Kunz Mejri مكتشف الثغرة، فإنه بإمكان المهاجمين عن بعد تجاوز آليات الحماية الموجودة في خدمة “استعادة كلمة المرور”، حيث تقوم آلية حماية الـ token بالتحقق (فقط) من وجود قيمة ومن ثم تقوم بحجب الوصول أو غلق جلسة العمل.

يمكن للمهاجمين تجاوز هذه الحماية من خلال تمرير القيمة “+++)-” (بدون إشارات الاقتباس) وسيغدو بإمكانهم تغيير كلمة المرور للحساب المطلوب والحصول على حق دخول غير مشروع.

تجدر الإشارة أيضاً إلى أنه يمكن للمهاجم فك حماية CAPTCHA التي تحد من خطورة هجمات brute-force، ويكون بإمكانه بعدها إرسال طلبات متكررة إلى الخدمة بغية تحقيق أهدافه الخبيثة.

ولحسن حظ Microsoft فإن هذه الحالة كانت بمجملها نصراً لها، أولاً لأن مكتشف الثغرة قرر مراسلة Microsoft بتفاصيلها بدلاً من تسريبها عبر الانترنت أو بيعها لجهات مجهولة، وثانياً لأنه منح Microsoft الأسبقية في تصحيح الثغرة قبل تفاقم خطورتها، حيث قامت بإصدار ترقيع لها خلال يومين تقريباً من تاريخ التبليغ والتأكد من وجود  الثغرة.

Report-Timeline: ================ 2012-04-06: Researcher Notification & Coordination 2012-04-20: Vendor Notification by VoIP Conference 2012-04-20: Vendor Response/Feedback 2012-04-21: Vendor Fix/Patch 2012-04-26: Public or Non-Public Disclosure

 ولنعد إلى كلامي السابق في وصف الحالة نصراً “بمجملها” لـ Microsoft، فنظراً للسرعة التي استجاب بها فريق MSRC فإن بعضاً من الحسابات الالكترونية فقط قد تم اختراقها، حيث تم تأكيد اختراق فريق قراصنة** مغربي** للعديد من الحسابات الالكترونية البريدية والتي تم تجميدها حال اكتشاف اختراقها.

كيف علم الفريق المغربي بوجود هذه الثغرة؟ هل تناقلت الألسن الأحاديث عن وجودها؟

لا يمكن الجزم بالتأكيد، لكن يمكنني القول بأنه قد بلغني عن طريق أحد القراصنة منذ حوالي أسبوع ونصف تقريباً، إمكانية اختراق أي حساب بريد الكتروني لدى Hotmail، ولم أعر الأمر أهميةً في حينها لعدم توافر أي معلومات مؤكده عن هذه الأنباء، والتي اتضح في النهاية صحتها.