Microsoft ترقع ثغرة في بريد Hotmail كانت تُمكّن من تغيير كلمة مرور الحسابات المُستهدفة عن بُعد

ضمن تصنيفي: Security ،Web.
الوقت المقدّر لقراءة هذا المقال: 3 دقيقة و 26 ثانية

تناقلت الألسن مؤخرًا أخبارًا عن وجود ثغرة في خدمة البريد الالكتروني ذائعة الصيت Microsoft Hotmail، تسمح هذه الثغرة لمستغلّيها بتغيير (reset) كلمة المرور الخاصة بأي حساب بريد الكتروني على خدمة MSN Hotmail Live واستبدالها بكلمة مرور جديدة دون الحاجة للحصول على أي معلومات خاصة بالحساب.

ميكروسوفت ترقع ثغرة في بريد هوتميل

 ووفقاً لـ Benjamin Kunz Mejri مكتشف الثغرة، فإنه بإمكان المهاجمين عن بعد تجاوز آليات الحماية الموجودة في خدمة “استعادة كلمة المرور”، حيث تقوم آلية حماية الـ token بالتحقق (فقط) من وجود قيمة ومن ثم تقوم بحجب الوصول أو غلق جلسة العمل.

يمكن للمهاجمين تجاوز هذه الحماية من خلال تمرير القيمة “+++)-” (بدون إشارات الاقتباس) وسيغدو بإمكانهم تغيير كلمة المرور للحساب المطلوب والحصول على حق دخول غير مشروع.

تجدر الإشارة أيضاً إلى أنه يمكن للمهاجم فك حماية CAPTCHA التي تحد من خطورة هجمات brute-force، ويكون بإمكانه بعدها إرسال طلبات متكررة إلى الخدمة بغية تحقيق أهدافه الخبيثة.

ولحسن حظ Microsoft فإن هذه الحالة كانت بمجملها نصراً لها، أولاً لأن مكتشف الثغرة قرر مراسلة Microsoft بتفاصيلها بدلاً من تسريبها عبر الانترنت أو بيعها لجهات مجهولة، وثانياً لأنه منح Microsoft الأسبقية في تصحيح الثغرة قبل تفاقم خطورتها، حيث قامت بإصدار ترقيع لها خلال يومين تقريباً من تاريخ التبليغ والتأكد من وجود  الثغرة.

Report-Timeline:
================
2012-04-06: Researcher Notification & Coordination
2012-04-20: Vendor Notification by VoIP Conference
2012-04-20: Vendor Response/Feedback
2012-04-21: Vendor Fix/Patch
2012-04-26: Public or Non-Public Disclosure

 ولنعد إلى كلامي السابق في وصف الحالة نصراً “بمجملها” لـ Microsoft، فنظراً للسرعة التي استجاب بها فريق MSRC فإن بعضاً من الحسابات الالكترونية فقط قد تم اختراقها، حيث تم تأكيد اختراق فريق قراصنة مغربي للعديد من الحسابات الالكترونية البريدية والتي تم تجميدها حال اكتشاف اختراقها.

كيف علم الفريق المغربي بوجود هذه الثغرة؟ هل تناقلت الألسن الأحاديث عن وجودها؟

لا يمكن الجزم بالتأكيد، لكن يمكنني القول بأنه قد بلغني عن طريق أحد القراصنة منذ حوالي أسبوع ونصف تقريباً، إمكانية اختراق أي حساب بريد الكتروني لدى Hotmail، ولم أعر الأمر أهميةً في حينها لعدم توافر أي معلومات مؤكده عن هذه الأنباء، والتي اتضح في النهاية صحتها.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook
Facebook
0Tweet about this on Twitter
Twitter
Share on Google+
Google+
0Share on LinkedIn
Linkedin
Buffer this page
Buffer
Email this to someone
email
Share on Reddit
Reddit
0Share on Tumblr
Tumblr
0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.