Schwere Sicherheitslücke in Microsofts Passport-Dienst (Upd)

Teildienst vorläufig von Microsoft deaktiviert. Ein pakistanischer Sicherheitsexperte fand heraus, dass Microsofts Passport-System ein empfindliches Sicherheitsleck(öffnet im neuen Fenster) aufweist. So ist es ohne großen Aufwand möglich, das Kennwort eines Passport-Zugangs zu ändern, sofern man den Benutzernamen kennt, um anschließend Zugang auf Passport-Daten zu erlangen. Microsoft reagierte darauf mit der Abschaltung(öffnet im neuen Fenster) dieses Teildienstes und will mittlerweile sogar Abhilfe geschafft haben.

8. Mai 2003 um 15:48 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Laut dem pakistanischen Sicherheitsexperten Muhammad Faisal Rauf Danka genügt es, eine speziell formatierte URL aufzurufen, die den Benutzername des zu verändernden Passport-Zugangs sowie eine eigene E-Mail-Adresse enthält. An diese E-Mail-Adresse verschickt der Microsoft-Dienst dann eine E-Mail mit einer URL, die das Zugangskennwort von Passport zurücksetzt und mit einem eigenen Wert belegt werden kann. Dabei muss das bisherige Kennwort nicht eingetragen werden. Damit will Microsoft Passport-Nutzern helfen, wenn diese das eigene Kennwort vergessen haben, um dann mit einer erneuten Kennwort-Zuweisung wieder Zugang zu ihren Daten erlangen zu können.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Administrator*in für den IT-Service Storage IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Cloud Platform & Security Engineer (m/w/d) Amnesty International Deutschland e.V., Berlin (öffnet im neuen Fenster)

Master-Student Anwendungsmanagement Laborinformationssystem (LIS) (m/w/d) MDI Limbach Berlin GmbH, Berlin (öffnet im neuen Fenster)

IT-Sicherheitsbeauftragter (m/w/d) Medizinischer Dienst Mecklenburg-Vorpommern Körperschaft des öffentlichen Rechts, Schwerin (öffnet im neuen Fenster)

Data Architect (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Kundenservice im Außendienst (m/w/d) - Quereinsteiger willkommen IN-Software GmbH, Memmingen,Ingolstadt (öffnet im neuen Fenster)

Model-Based Software Developer (m/w/d) Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH, Windhagen (öffnet im neuen Fenster)

Senior Master Data Manager* HARTING Electric Stiftung & Co. KG, Espelkamp (öffnet im neuen Fenster)

Nach Angaben des Entdeckers dieser Sicherheitslücke reagierte Microsoft erst nach zehn E-Mails auf das Problem. Derzeit ist dieser Teildienst von Passport deaktiviert(öffnet im neuen Fenster) ; Microsoft arbeitet an einer langfristigen Lösung des Problems. Passport wird unter anderem bei der Nutzung der Hotmail-Konten verwendet.

Update vom 9. Mai, 10:15 Uhr:
Mittlerweile will Microsoft das Sicherheitsleck gestopft haben und nun ein sichereres Verfahren gewählt haben, falls das eigene Kennwort vergessen wurde, um weiterhin auf den Passport-Zugang zugreifen zu können. Details nannte der Hersteller jedoch nicht.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen