Microsoft tappa uno spiffero in Passport

Il big di Redmond Ŕ dovuto intervenire per chiudere una falla di Passport che in certe condizioni poteva consentire a malintenzionati di appropriarsi di vecchi account

Redmond (USA) - Nei giorni scorsi Microsoft ha sistemato un buco nella sicurezza del proprio servizio di autenticazione on-line Passport. La falla, divulgata pochi giorni fa da un esperto, Victor Manuel Alvarez Castro, avrebbe potuto consentire ad un cracker di sottrarre ai legittimi proprietari alcuni vecchi account di Passport.

La vulnerabilitÓ risiedeva nel codice che, da quattro anni a questa parte, gestisce il campo di registrazione "Domanda Segreta", una funzione a cui gli utenti possono far ricorso nel caso non ricordino pi¨ la propria password. Microsoft ha spiegato che alcuni degli account creati prima dell'introduzione di questa funzione, avvenuta nell'agosto del 1999, contenevano dei dati errati nel campo Domanda Segreta, dati che avrebbero potuto essere sfruttati da un aggressore per azzerare la password dell'account e cambiarla con una a propria scelta.

Microsoft ha sottolineato come il problema, sebbene serio, interessasse una piccola percentuale degli utenti di Passport: oltre a ci˛, per sfruttare la falla l'aggressore avrebbe dovuto conoscere l'indirizzo e-mail e la nazione del proprietario dell'account. Il colosso afferma di non avere nessuna prova che qualcuno abbia utilizzato la breccia per penetrare nell'account di uno o pi¨ utenti.
Ancora una volta il big di Redmond ha criticato il fatto di non essere stata informata della falla con un certo anticipo rispetto alla sua divulgazione. Castro, dal suo canto, si difende sostenendo di aver inviato a Microsoft diverse e-mail rimaste, a suo dire, senza risposta.

A maggio Microsoft ha patchato una vulnerabilitÓ di sicurezza simile alla precedente e relativa al sistema di recupero delle password di Passport.
TAG: microsoft
9 Commenti alla Notizia Microsoft tappa uno spiffero in Passport
Ordina
  • hanno risolto sto casino. Infatti questa falla era la piu' utilizzata dagli hacker per intaccare le chat di msn. Infatti basta craccare il passport per poi entrare con l'utente scelto e il gioco era fatto. Speriamo che ora sta cosa non accada piu'
    non+autenticato
  • Recentemente mi sono inbattuto in un tool in grado di forzare la sicurezza del database SAM anche se cifrato con l'utility Microsoft syskey.

    -Il database SAM è la struttura responsabile della memorizzazione delle credenziali degli utenti nei sistemi operativi MS.
    -L'utility syskey è fornita con i sistemi operativi NT e derivati e permette di cifrare l'intero db.

    Il tool che ho provato si chiama saminside e si trova al seguente indirizzo:

    http://pwlinside.narod.ru/samins_e.htm

    Sul sito gli autori dichiarano che lo strumento non fa altro che sbloccare il database effettuando dei test sequenziali con il metodo del brute force. Grazie alla velocità dei pc attuali, infatti, accade che i tempi di forzatura del SAM siano assolutamente ragionevoli.

    In aziende in cui la sicurezza dell'infrastruttura MS non è stata implementata a dovere, forzare il SAM costituisce un rischio reale che si traduce nella possibilità che un utente di dominio possa, ad es, procurarsi la password dell'amministratore di dominio con facilità.

    E' doveroso osservare che nei sistemi operativi di ultima generazione MS non si sia preoccupata di aumentare la robustezza del syskey e la sicurezza del SAM.

    Mi è venuto il dubbio che questo aspetto sia stato volutamente trascurato per favorire, al momento giusto, l'ingresso sul mercato delle nuove piattaforme di sicurezza di cui si è tanto parlato.

    Staremo a vedere.

    Ciao
    -max

  • > -Il database SAM è la struttura responsabile
    > della memorizzazione delle credenziali degli
    > utenti nei sistemi operativi MS.
    > -L'utility syskey è fornita con i sistemi
    > operativi NT e derivati e permette di
    > cifrare l'intero db.

    craccare con brute force /etc/passwd o /etc/shadow e' molto piu' semplice
    l'algoritmo usato ha una chiave molto piu' corta
    non+autenticato

  • > Sul sito gli autori dichiarano che lo
    > strumento non fa altro che sbloccare il
    > database effettuando dei test sequenziali
    > con il metodo del brute force. Grazie alla
    > velocità dei pc attuali, infatti, accade che
    > i tempi di forzatura del SAM siano
    > assolutamente ragionevoli.
    >

    sei sicuro?
    per una password di 10 caratteri potrebbero volerci milleni con il brute force...
    i tempi sono tutto tranne che ragionevoli, fidati
    tra l'altro sulle macchine linux si usa ancora des a 56 bit..
    quello si craccabile in poche ore

    ogni algoritmo avendo tempo illimitato si puo' forzare
    usando un attacco brute force

    il problema e' solo proteggere i file che contengono le password
    perche' nessuno puo' evitare che io vada vicino alla macchina, la spenga, mi attacchi il suo hd come secondario mi legga ogni cosa...

    l'importante e' che certi dati siano sicuri almeno da remoto

    e non mi pare che si possa prelevare il sam da remoto senza una password di administrator
    non+autenticato
  • quando e' linux sono voragini, per passport e' uno "spiffero"!
    non+autenticato

  • - Scritto da: Anonimo
    > quando e' linux sono voragini, per passport
    > e' uno "spiffero"!

    Beh qui mi sembra mooolto piu' spiffero che voragine
    Ma poi, diciamocelo, ma chi ce l'ha dati personali su MSN? Dai
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > quando e' linux sono voragini, per
    > passport
    > > e' uno "spiffero"!
    >
    > Beh qui mi sembra mooolto piu' spiffero che
    > voragine
    > Ma poi, diciamocelo, ma chi ce l'ha dati
    > personali su MSN? Dai

    Beh, magari nessuno... però non dimenticare cosa doveva servire passport. O cosa dovrà servire, visto che credo che il progetto iniziale sia rimasto, anche se per il momento non ha preso piede...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > quando e' linux sono voragini, per
    > passport
    > > e' uno "spiffero"!
    >
    > Beh qui mi sembra mooolto piu' spiffero che
    > voragine
    > Ma poi, diciamocelo, ma chi ce l'ha dati
    > personali su MSN? Dai

    Io no sicuro! ne ora ne mai. Ma secondo M$ (non secondo me) quello era il modo "sicuro" di passare dati, fare (figuriamoci!) pagamenti e via cianciando....

    La distanza tra il marketing e la reltà è grande vero?......
    Meditate gente meditate......
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > quando e' linux sono voragini, per
    > passport
    > > e' uno "spiffero"!
    >
    > Beh qui mi sembra mooolto piu' spiffero che
    > voragine
    > Ma poi, diciamocelo, ma chi ce l'ha dati
    > personali su MSN? Dai

    Beato te! Conosco tante, ma tante teste vuote che hanno aperto account passport per usare chat e chattine varie con i loro dati personali VERI perché pensavano che il "computer centrale" potesse riconoscere le bugie.
    Quando ho detto a diversi di questi intelligentoni che è comunque un rischio dare i prorpi dati personali a chiunque sul web mi hanno risposto che sono paranoico e vedo pericoli dovunqueOcchiolino   
    Di questi è pieno il mondo, molto più di quanto crediate, pensate solo ai milioni di americani abituati a comprare su eBay con pagamento anticipato....e poi chiamano la polizia perché "Il Powerbook dopo 6 mesi non è ancora arrivato, eppure i 2000 dollari li ho spediti..."Occhiolino
    non+autenticato