16-jarige Nederlander vindt beveiligingslek in Hotmail *Update*
Het is vrij eenvoudig om Hotmail accounts te kraken, zo waarschuwt de 16-jarige Adriaan Graas. De Nederlandse tiener vond onlangs een beveiligingslek in de populaire e-maildienst van Microsoft. Door het hack is iedere kwaadwillende hotmail gebruiker in staat een andere hotmail account te hacken. Graas heeft over de hack een security advisory en how-to geschreven.
Het hacken van hotmail bestaat uit het injecteren van een stuk code in de URL van de pagina. Er kan een link gemaakt worden naar deze pagina met geinjecterde code. Een ingelogde hotmail gebruiker stuurt door de geinjecteerde code zijn logincookie - het bestand waar door hotmail wordt bijgehouden of de gebruiker is ingelogd - naar de computer van de aanvaller. Deze kan dan de cookie informatie gebruiken om zelf in te loggen op het account van het slachtoffer. Daarbij kan hij alle handelingen uitvoeren die de normale hotmail gebruiker ook zou kunnen doen.
Volgens Graas verricht Microsoft geen volledig werk, want soortgelijke beveiligingslekken zijn de afgelopen jaren een aantal keer ontdekt. De tiener is ervan overtuigd dat er ook meer zullen volgen. Het duurde hem vijf uur om drie lekken te vinden, waavan twee bruikbaar. Het zou zelfs mogelijk zijn om de gemiddelde computergebruiker in minder dan een week aan te leren hoe hij hetzelfde zou kunnen ontdekken en uitvoeren.
Graas heeft het cross-site scripting lek op 27 juni aan Microsoft gerapporteerd en is nog steeds aanwezig. De pagina met de how-to is op het moment van schrijven niet bereikbaar.
*Update 11:20*
De Hotmail exploit is op deze pagina te vinden.
Hieronder de enige reactie die Graas tot zover van Microsoft heeft ontvangen:
Hi Adriaan,
Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin
acknowledgment policy at http://www.microsoft.com/technet/security/bulletin/policy.mspx and our general policies and practices at http://www.microsoft.com/technet/security/bulletin/info/msrpracs.mspx.
If at any time you have questions or more information, please respond to this message.
handeling verrichten voordat de exploit uberhaubt werkt.
exploit. Hier kan hij hoogstwaarschijnlijk heel wat gezeur mee krijgen.
Oei, hij is nu wel gevaarlijk bezig met het laten zien van
de werking van de
exploit. Hier kan hij hoogstwaarschijnlijk heel wat gezeur
mee krijgen.
want?
bedrijven niet van. En voor zover ik weet mag dat ook niet. Laatst had ik een
XSS-vulnarebility gevonden bij Chello.nl (zie Webwereld.nl) waarmee ik
geluk had dat ik de fout niet misbruikt en verspreid had.
'k Weet niet wat de wetgeving hierover zegt, maar het lijkt me ten eerste niet
netjes om te doen en ten tweede lijkt me het gevaarlijk.
Het is geen kritieke lek de gebruiker moet nog steeds een
handeling verrichten voordat de exploit uberhaubt werkt.
En wat doet een gemiddelde MSN gebruiker?
"Hey, een schermpje!"
*klik*
Oei, hij is nu wel gevaarlijk bezig met het laten zien van
de werking van de
exploit. Hier kan hij hoogstwaarschijnlijk heel wat gezeur
mee krijgen.
want?
het uitgevoerde (of misbruiken van een) exploit is strafbaar in NL.
(Moedwillig, opzettelijk en vooral ZONDER uitdrukkelijke
toestemming van de (nalatige) beheerder systemen binnendringen.)
guidelines and not report this publicly until users have an opportunity
to protect themselves (as you have mentioned).
Mr. Gaas heeft te kennen gegeven en zijn bereidheid / begrip
getoond om (voorlopig) zijn mond te houden, is hij even vergeten
denk ik.
(het gebeurt vaker in de pubertijd dat je "vergeet" aan wie je je
belofte maakt..;)
De Hotmail exploit is op deze pagina te vinden.
Ehm..?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!