Microsoft .net Passport ältere Accounts Passwörter zurücksetzen

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.0$0-$5k0.00

Das Microsoft .net Passport System stellt die Möglichkeit zur Verfügung, sich an einer Stelle mit einem System zu authentifizieren und so unkompliziert andere, kompatible Dienste nutzen zu können. Victor Manuel Alvarez Castro entdeckte, dass Konten, die erstellt wurden, bevor Microsoft das Secret Question Feature implementierte, sehr einfach geknackt werden können. Dafür muss dem Angreifer lediglich die Emailadresse und das Land des Benutzers - und bei Opfern aus den USA zusätzlich der Staat und die Postleitzahl (engl. zip code) - bekannt sein. Obschon diese Voraussetzungen das erfolgreiche zurücksetzen des Passworts nicht gerade erleichtern, ist sehr wahrscheinlich ein Grossteil der 200 Millionen existierenden Accounts in Gefahr. Besonders, wenn der Angreifer näheren Kontakt zum Opfer hat, dürfte das Vorhaben relativ einfach realisierbar sein. Microsoft und Hotmail.com wurde über das Problem informiert, reagierten bisher jedoch bis zum Erscheinen des Advisories in keinster Weise darauf. Erst einen Tag später wurde das Problem behoben, wie verschiedene Quellen (z.B. Heise Security unter http://www.heise.de/security/news/meldung/38224 ) berichteten.

Diese Schwachstelle - schon die zweite im Passport-System innert kürzester Zeit - zeigt sehr imposant, dass ein zentraler Ansatz neben den vielen Vorteilen auch entscheidende Nachteile hat. Wird eine Sicherheitslücke entdeckt, ist das gesamte System untergraben und somit sämtliche Benutzerdaten in Gefahr. Da bei diesem spezifischen Fehler verschiedene Dinge zusammenspielen müssen, können nicht wahllos irgendwelche Konten geplündert werden. Schlimm ist nur, dass Microsoft es versäumt hat, umgehend zu reagieren.

Produktinfo

Hersteller

Name

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.2
VulDB Meta Temp Score: 4.0

VulDB Base Score: 4.2
VulDB Temp Score: 4.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-287
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Disable
Status: 🔍

0-Day Time: 🔍

Patch: passport.net

Timelineinfo

01.07.2003 🔍
01.07.2003 +0 Tage 🔍
25.06.2019 +5838 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: securiteam.com
Person: Victor Manuel Alvarez Castro
Status: Nicht definiert

Eintraginfo

Erstellt: 01.07.2003 02:00
Aktualisierung: 25.06.2019 23:01
Anpassungen: 01.07.2003 02:00 (45), 25.06.2019 23:01 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!