Un cracker potrebbe essere in grado di accedere alla mailbox di terzi, visualizzare la lista dei contatti e altro ancora
Un buco nella sicurezza del sito Hotmail di Microsoft è stato di recente
scoperto da un programmatore olandese.
Sfruttando il problema, un malintenzionato può essere in grado di accedere
alla mailbox di terzi, visualizzare la lista dei contatti di altre
persone e molto altro ancora.
L’unica operazione che l’"aggressore" deve compiere consiste nell’inviare
un’e-mail con un link ad una pagina web appositamente sviluppata con intenti
maligni.
Se l’utente che riceverà il messaggio di posta elettronica visiterà
il sito web creato dal malintenzionato la sua mailbox su Hotmail diverrà
immediatamente violabile.
L’exploit (si chiama così il codice necessario per
far leva su una vulnerabilità di sicurezza) prevede come obiettivo primario
quello di impossarsi del cookie creato sul computer dell’utente "vittima"
e necessario per accedere a passport.net od hotmail.msn.com.
Una volta che il malintenzionato remoto avrà "carpito" il
cookie dell’utente, Hotmail lo identificherà così come se si trattasse
del malcapitato preso di mira.
Il trucco è molto semplice: poiché ogniqualvolta che si accede
ad un sito web facente parte del dominio msn.com, il browser trasmette ad Hotmail
il contenuto del cookie, il programmatore olandese ha messo in piedi un sito
Web "dimostrativo" (del tipo xxxx.msn.com) per mostrare come la vulnerabilità
possa essere eventualmente sfruttata anche per fini illeciti.
E’ sufficiente creare una pagina ASP o PHP che legga il contenuto
del cookie e lo trasmetta ad un terzo sito web. A questo punto, l’aggressore
– una volta conosciuto il contenuto del cookie – potrà subito assumere
l’identità dell’utente-vittima.
Microsoft è corsa ai ripari aggiornando il codice e sistemando la vulnerabilità.
Ma in Rete si rincorrono voci che altri siti relativi a MSN.com possano ancora
risultare vulnerabili.
