Passport e il buco-passpartout

Un esperto ha scoperto una debolezza nel sistema cambia-password di Passport che potrebbe consentire ad un aggressore di rubare dati di altri utenti. Microsoft corre ai ripari

Redmond (USA) - Alcuni esperti di sicurezza hanno recentemente lanciato l'allarme per quella che considerano una delle più gravi vulnerabilità di sicurezza emerse in Passport, il noto servizio di autenticazione sul Web di Microsoft.

Secondo quanto descritto in un messaggio apparso sulla mailing-list di sicurezza Full Disclosure, la falla interessa - o meglio, interessava, visto che Microsoft avverte di aver già tappato il buco - il meccanismo di recupero delle password che Passport mette a disposizione degli utenti più" distratti".

Secondo il post, un aggressore avrebbe potuto sfruttare la debolezza per cambiare la password di qualsiasi account di cui conosca il nome utente: in questo modo il malintenzionato avrebbe potuto autenticarsi nel servizio con la nuova password e rubare tutte le informazioni dell'utente che ha creato l'account, incluso l'eventuale numero di carta di credito.
L'esperto di sicurezza che ha divulgato il baco sostiene che la semplicità con cui l'attacco poteva essere portato a termine faceva di questa vulnerabilità un problema molto serio, soprattutto considerando la grande diffusione di Passport.

Della gravità della situazione si è resa conto la stessa Microsoft che, nel giro di sole tre ore dalla pubblicazione dell'advisory, ha provveduto a bloccare la funzionalità a rischio così da impedire l'azzeramento delle password attraverso l'invio al server di una URL malevola: questa è infatti la tecnica che, secondo alcuni esperti, era già stata utilizzata da uno o più cracker per ingannare il sistema e ricevere, nella propria mailbox, un link attraverso cui poter modificare la password di altri utenti.

Il team di sicurezza di Microsoft si è detto al lavoro per riprogettare il sistema di recupero delle password in modo che non sia più vulnerabile a questo tipo di attacchi.
TAG: microsoft
13 Commenti alla Notizia Passport e il buco-passpartout
Ordina
  • Il passbug della M$ non è ancora cosi diffuso.
    Volete tenere gentilmente celati i buchi fino ad un momento di buona diffusione dello stesso, per favore.
    SAREBBE IL PANICO E LA CONSEGUENTE CADUTA DI M$.
    Riflettete, mica riguarda un bug di un prodotto qualsiasi, ma di un prodotto che ha a che fare con le transizioni economiche dei clienti. In un prossimo futuro i bug del passM$ potrebbero costare a M$ milioni di cause legali intentate dai suoi clienti: sarebbe la fine della stessa.
    Quindi un consiglio: non rivelate i bug del passM$ e più in generale dell'arch. .net, ma teneteli buoni per il momento della rivelazione decisiva, di modo tale che anche un ragazziono di 13 anni in quel momento sarebbe messo in grado d'affondare M$.
    non+autenticato
  • > Il passbug della M$ non è ancora cosi
    > diffuso.

    In compenso è stato già pubblicato da un numero imprecisato di altri siti.

    > Volete tenere gentilmente celati i buchi
    > fino ad un momento di buona diffusione dello
    > stesso, per favore.
    > SAREBBE IL PANICO E LA CONSEGUENTE CADUTA DI
    > M$.

    Se MS ha comunicato di aver già risolto il tutto, non vedo dove sia il problema.

    > Riflettete, mica riguarda un bug di un
    > prodotto qualsiasi, ma di un prodotto che ha
    > a che fare con le transizioni economiche dei
    > clienti. In un prossimo futuro i bug del
    > passM$ potrebbero costare a M$ milioni di
    > cause legali intentate dai suoi clienti:
    > sarebbe la fine della stessa.

    Ma certamente i clienti non faranno denunce solo perché PI ha pubblicato dettagli sul bug in questione. A parte questo, la notizia non fa altro che confermare l'idea che avevo prima, cioè che alla sicurezza di Passport non affiderei neanche un pacchetto di spilli, figuriamoci un pagamento.
    A proposito, cos'è una "transizione economica"?

    Il vero problema qui è un altro: l'autore della segnalazione sostiene di avere inviato un certo numero di email a MS segnalando il bug, e di non avere ricevuto alcuna risposta. Se questo non è vero, l'autore è da biasimare per aver fatto tutta la scena ai danni di MS, e comunque per non aver divulgato il bug in modo responsabile. Se invece la cosa è reale, l'unica da biasimare è MS, proprio la MS che tu difendi così tanto.
    DPY
    380
  • Credo che anonimo si rivolgesse agli scopritori del bug, non alla redazione di PI. Ed effettivamente non ha tutti i torti.
    Se questi bachi venissero rivelati quando Passport è già molto diffuso, potrebbe veramente far crollare tutto (e l'idea non mi dispiace, non perché io sia anti-MS ma perché l'idea di un sistema di autenticazione globale non mi garba molto).
    non+autenticato
  • - Scritto da: Anonimo
    > Credo che anonimo si rivolgesse agli
    > scopritori del bug, non alla redazione di
    > PI.

    Sì, mi pare ovvio... lo scopritore del bug è senza alcun dubbio un assiduo lettore di PI.

    > Ed effettivamente non ha tutti i torti.
    > Se questi bachi venissero rivelati quando
    > Passport è già molto diffuso, potrebbe
    > veramente far crollare tutto

    Se è vero quello che asserisce lo scopritore, ovvero che ha tentato per 10 volte di contattare MS senza alcuna risposta, ha tutti i torti ed anche di più, specialmente considerando che si tratta di un problema di architettura facilissimo da sfruttare. C'era una altissima probabilità che fosse stato già sfruttato e quindi era ora di farlo sapere in modo che MS si desse una mossa a chiuderlo. Può anche essere, come ho già scritto, che le affermazioni dello scopritore non siano vere, ma non ho letto alcuna smentita di MS sull'argomento.
    DPY
    380
  • Ti vedo impegnato
    non+autenticato

  • - Scritto da: Anonimo
    > Il passbug della M$ non è ancora cosi
    > diffuso.
    > Volete tenere gentilmente celati i buchi
    > fino ad un momento di buona diffusione dello
    > stesso, per favore.
    > SAREBBE IL PANICO E LA CONSEGUENTE CADUTA DI
    > M$.

    Anche se hai ragione, SEI UN SUPERTROLL Sorride

    Comunque, quel tipo di baco sarebbe definibile "diffusissimo by design", perche' e' un errore di procedura lato server (ma non sarebbe bastato controllare che la e-mail=username di cui si chiedeva il cambio di password coincidesse con il destinatario del link per il reset??? I solito programmatori svampiti...)

    Buona giornata!

    non+autenticato
  • >Della gravità della situazione si è resa conto la stessa microsoft che, nel giro di sole tre ore dalla pubblicazione dell'advisory, ha provveduto a bloccare la funzionalità a rischio

    ma dopo 3 settimane di tentativi di avvertirli da parte dello scopritore della falla...
    questa si' che e' professionalita'

    ac
    non+autenticato

  • - Scritto da: Anonimo

    > ma dopo 3 settimane di tentativi di
    > avvertirli da parte dello scopritore della
    > falla...
    > questa si' che e' professionalita'

    hey.. stiamo parlando di M$! mica del Debian Security Team!Sorride sii comprensivo..
    C'è gente che puo'.. e altra che non è in grado!
    non+autenticato
  • > >Della gravità della situazione si è resa
    > conto la stessa microsoft che, nel giro di
    > sole tre ore dalla pubblicazione
    > dell'advisory, ha provveduto a bloccare la
    > funzionalità a rischio

    Veramente sta storia della e-mail che permetteva di prendere possesso della e-mail girava da settimane e settimane sui gruppi yahoo (protetti appunto da passport). Quando la ho letta ho pensato che era una bufala oppure che microsoft l'aveva gia' messa a posto. Solo per questo motivo pochissimi avranno veramente usato l'exploit.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Veramente sta storia della e-mail che
    > permetteva di prendere possesso della e-mail
    > girava da settimane e settimane sui gruppi
    > yahoo (protetti appunto da passport).

    ehm... gruppi yahoo non usa passport. ha il suo sistema di Yahoo ID che alla fine fa le stesse cose di passport ma con molto meno marketing di sopra.
  • e questo dovrebbe essere "il sistema di autenticazione" globale e universale? un solo account per tutti i servizi su internet?

    A volte mi chiedo perche non lasciano perdere e non si concentrano solo sulla prossima gui dei Puffi...
    non+autenticato

  • - Scritto da: Anonimo
    > e questo dovrebbe essere "il sistema di
    > autenticazione" globale e universale? un
    > solo account per tutti i servizi su
    > internet?
    >
    > A volte mi chiedo perche non lasciano
    > perdere e non si concentrano solo sulla
    > prossima gui dei Puffi...

    Siete solo dei poveri troll... e tristi.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > e questo dovrebbe essere "il sistema di
    > > autenticazione" globale e universale? un
    > > solo account per tutti i servizi su
    > > internet?
    > >
    > > A volte mi chiedo perche non lasciano
    > > perdere e non si concentrano solo sulla
    > > prossima gui dei Puffi...
    >
    > Siete solo dei poveri troll... e tristi.

    Ma no, che siamo allegri...
    non+autenticato