I ricercatori di Trend Micro hanno scoperto una vulnerabilità nel servizio di posta elettronica Hotmail che permetteva ai malintenzionati di accedere ai messaggi e ai contatti degli ignari utenti.
Microsoft, dopo aver ricevuto la segnalazione, ha comunicato di aver prontamente corretto il bug, ma non ha specificato quando ciò è stato fatto né se gli utenti sono stati avvisati del problema.
La vulnerabilità veniva sfruttata mediante email contenenti script che eseguivano comandi per inviare la corrispondenza e i contatti degli utenti verso server esterni. Era sufficiente aprire un messaggio o visualizzarlo in una finestra di anteprima per eseguire lo script senza bisogno di cliccare su nessun link.
Il problema è stato individuato da un dipendente di Trend Micro che ha ricevuto una email trappola contenente un avviso di sicurezza relativo all’account Facebook della vittima.
Lo script sfruttava un bug nel meccanismo di filtraggio CSS di Hotmail. Inviando un particolare carattere, veniva alterato il funzionamento del sistema e la piattaforma eseguiva comandi arbitrari durante la sessione di login dell’utente.