CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
4.0 | $0-$5k | 0.00 |
Das Microsoft .net Passport System stellt die Möglichkeit zur Verfügung, sich an einer Stelle mit einem System zu authentifizieren und so unkompliziert andere, kompatible Dienste nutzen zu können. Victor Manuel Alvarez Castro entdeckte, dass Konten, die erstellt wurden, bevor Microsoft das Secret Question Feature implementierte, sehr einfach geknackt werden können. Dafür muss dem Angreifer lediglich die Emailadresse und das Land des Benutzers - und bei Opfern aus den USA zusätzlich der Staat und die Postleitzahl (engl. zip code) - bekannt sein. Obschon diese Voraussetzungen das erfolgreiche zurücksetzen des Passworts nicht gerade erleichtern, ist sehr wahrscheinlich ein Grossteil der 200 Millionen existierenden Accounts in Gefahr. Besonders, wenn der Angreifer näheren Kontakt zum Opfer hat, dürfte das Vorhaben relativ einfach realisierbar sein. Microsoft und Hotmail.com wurde über das Problem informiert, reagierten bisher jedoch bis zum Erscheinen des Advisories in keinster Weise darauf. Erst einen Tag später wurde das Problem behoben, wie verschiedene Quellen (z.B. Heise Security unter http://www.heise.de/security/news/meldung/38224 ) berichteten.
Diese Schwachstelle - schon die zweite im Passport-System innert kürzester Zeit - zeigt sehr imposant, dass ein zentraler Ansatz neben den vielen Vorteilen auch entscheidende Nachteile hat. Wird eine Sicherheitslücke entdeckt, ist das gesamte System untergraben und somit sämtliche Benutzerdaten in Gefahr. Da bei diesem spezifischen Fehler verschiedene Dinge zusammenspielen müssen, können nicht wahllos irgendwelche Konten geplündert werden. Schlimm ist nur, dass Microsoft es versäumt hat, umgehend zu reagieren.
Produkt
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.2VulDB Meta Temp Score: 4.0
VulDB Base Score: 4.2
VulDB Temp Score: 4.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DisableStatus: 🔍
0-Day Time: 🔍
Patch: passport.net
Timeline
01.07.2003 🔍01.07.2003 🔍
25.06.2019 🔍
Quellen
Hersteller: microsoft.comAdvisory: securiteam.com⛔
Person: Victor Manuel Alvarez Castro
Status: Nicht definiert
Eintrag
Erstellt: 01.07.2003 02:00Aktualisierung: 25.06.2019 23:01
Anpassungen: 01.07.2003 02:00 (45), 25.06.2019 23:01 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.