Microsoft ha comunicato su Twitter di aver risolto una vulnerabilità zero-day che avrebbe consentito ad un hacker di resettare la password utilizzata dagli utenti per accedere al servizio di posta elettronica Hotmail. Il bug è stato scoperto il 6 aprile, ma l’azienda di Redmond è stata informata solo una settimana fa.
Hotmail utilizza un sistema di reset delle password basato su token, in modo tale che solo il proprietario dell’account possa modificare la chiave di accesso al servizio. Un link contenente il token viene inviato ad un indirizzo di posta collegato all’account principale. Cliccando su questo link, l’utente può resettare la password. Hotmail non gestiva correttamente il processo di validazione dei token, consentendo quindi agli hacker di cambiare la password da remoto e prendere possesso dell’account.
La vulnerabilità, scoperta da un hacker dell’Arabia Saudita, può essere sfruttata molto facilmente utilizzando un’estensione di Firefox denominata Tamper Data. Questo add-on intercetta le richieste HTTP in uscita dal browser e permette di modificare questi dati in tempo reale. Su YouTube sono stati pubblicati diversi video (in arabo) che mostrano i passi da seguire.
Dopo aver ricevuto informazioni sulla vulnerabilità, Microsoft ha chiuso la falla in poche ore. Se l’account Hotmail è stato compromesso da un attacco degli hacker, l’utente non potrà più accedere alla sua posta elettronica, in quanto la password è stata resettata. Si tratta di un grave rischio se Hotmail viene utilizzato per conservare informazioni sensibili, come i dati bancari. Prima dell’intervento da parte dell’azienda di Redmond, all’interno della comunità hacker l’offerta era di 20 dollari per ogni account “craccato”.