Microsoft ترقع ثغرة في بريد Hotmail كانت تُمكّن من تغيير كلمة مرور الحسابات المُستهدفة عن بُعد

الوقت المقدّر لقراءة هذا المقال: 3 دقيقة و 26 ثانية

تناقلت الألسن مؤخرًا أخبارًا عن وجود ثغرة في خدمة البريد الالكتروني ذائعة الصيت Microsoft Hotmail، تسمح هذه الثغرة لمستغلّيها بتغيير (reset) كلمة المرور الخاصة بأي حساب بريد الكتروني على خدمة MSN Hotmail Live واستبدالها بكلمة مرور جديدة دون الحاجة للحصول على أي معلومات خاصة بالحساب.

ميكروسوفت ترقع ثغرة في بريد هوتميل

 ووفقاً لـ Benjamin Kunz Mejri مكتشف الثغرة، فإنه بإمكان المهاجمين عن بعد تجاوز آليات الحماية الموجودة في خدمة “استعادة كلمة المرور”، حيث تقوم آلية حماية الـ token بالتحقق (فقط) من وجود قيمة ومن ثم تقوم بحجب الوصول أو غلق جلسة العمل.

يمكن للمهاجمين تجاوز هذه الحماية من خلال تمرير القيمة “+++)-” (بدون إشارات الاقتباس) وسيغدو بإمكانهم تغيير كلمة المرور للحساب المطلوب والحصول على حق دخول غير مشروع.

تجدر الإشارة أيضاً إلى أنه يمكن للمهاجم فك حماية CAPTCHA التي تحد من خطورة هجمات brute-force، ويكون بإمكانه بعدها إرسال طلبات متكررة إلى الخدمة بغية تحقيق أهدافه الخبيثة.

ولحسن حظ Microsoft فإن هذه الحالة كانت بمجملها نصراً لها، أولاً لأن مكتشف الثغرة قرر مراسلة Microsoft بتفاصيلها بدلاً من تسريبها عبر الانترنت أو بيعها لجهات مجهولة، وثانياً لأنه منح Microsoft الأسبقية في تصحيح الثغرة قبل تفاقم خطورتها، حيث قامت بإصدار ترقيع لها خلال يومين تقريباً من تاريخ التبليغ والتأكد من وجود  الثغرة.

Report-Timeline:
================
2012-04-06: Researcher Notification & Coordination
2012-04-20: Vendor Notification by VoIP Conference
2012-04-20: Vendor Response/Feedback
2012-04-21: Vendor Fix/Patch
2012-04-26: Public or Non-Public Disclosure

 ولنعد إلى كلامي السابق في وصف الحالة نصراً “بمجملها” لـ Microsoft، فنظراً للسرعة التي استجاب بها فريق MSRC فإن بعضاً من الحسابات الالكترونية فقط قد تم اختراقها، حيث تم تأكيد اختراق فريق قراصنة مغربي للعديد من الحسابات الالكترونية البريدية والتي تم تجميدها حال اكتشاف اختراقها.

كيف علم الفريق المغربي بوجود هذه الثغرة؟ هل تناقلت الألسن الأحاديث عن وجودها؟

لا يمكن الجزم بالتأكيد، لكن يمكنني القول بأنه قد بلغني عن طريق أحد القراصنة منذ حوالي أسبوع ونصف تقريباً، إمكانية اختراق أي حساب بريد الكتروني لدى Hotmail، ولم أعر الأمر أهميةً في حينها لعدم توافر أي معلومات مؤكده عن هذه الأنباء، والتي اتضح في النهاية صحتها.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+5Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • الثغرة انتشرة بشكل رهيب في المغرب وكان من السهل تنفيدها من الجميع، أطفال في سن العاشرة شاهتهم بام عيني يطبقون الثغرة و انا لم اجد ذلك 🙁

  • لماذا سكوت الفريق المغربي عن سرقه ثغرتهم التي اكتشفت من قبلهم لصالح بنيامين هذا مدعي الاكتشاف !؟

  • 1- ليس هناك ما يدل على أن الفريق المغربي هو مكتشف الثغرة.
    2- عند تبليغ شركة ما عن وجود ثغرة في منتج من منتجاتها، فلا يهم من يقوم باستغلال هذه الثغرة في الخفاء لمكاسبه الشخصية، وإنما يهم من قام بتبليغ الشركة بتفاصيلها.

    الثغرة التي تكلمت عنها في هذا الخبر هي ثغرة 0day
    والتي ربما هناك آخرون كانوا قد كشفوها من قبل وآثروا استخدامها لغاياتهم، لكن لن يمنحهم أحد الـ credit لأنهم لم يكونوا الأوائل للمبادرين بالمطالبة به.

  • الحقيقة تم تهكير كتير من الحسابات بسوريا .. وخصوصا للحسابات الداعمة للثورة ضد نظام الأسد الحقير

  • الثغرـة انتشـرت بشـكل كبيـر جدا وكانت سهـلة نوعا مـا ولا تتطلب الكثـير .. يكفيك Tamper Data وتطير اي ايميل.. الحلو انه ميكروسوفت قفلتها ورجعت باك اب قديم لكل ايميل مع الايميل البديل والباسوورد القديم .. والحمد لله مضيت على خير

  • مايكروسوفت فعلا بدأت بالتخبط
    الان مع gmail هناك زحف كبير من الهوتميل الى الجي ميل
    لما فيه من مميزات لا تحصى ولا تقارن بالهوتميل