[SECURITY-L] [caio_sm em yahoo.com.br: Falha permite 'rapto' de contas Passport]

Ter Jul 1 09:06:02 -03 2003

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Falha permite 'rapto' de contas Passport
To: security em unicamp.br
Date: Mon, 30 Jun 2003 18:42:29 -0300 (ART)

Falha permite 'rapto' de contas Passport

Problema atinge apenas contas antigas do serviço de
autenticação da Microsoft, criadas antes da
implantação do recurso "questão secreta" para
recuperar senha do usuário.

Paul Roberts, IDG News Service
30/06/2003 13:51:08

<http://pcworld.terra.com.br/pcw/update/9206.html>

Mais uma nova vulnerabilidade recém-descoberta pode
permitir a invasores zerar a senha e raptar contas
antigas .Net Passport, da Microsoft, segundo uma
mensagem colocada em uma lista de discussões sobre
falhas em software.

O .Net Passport é o serviço de identificação online da
Microsoft que permite aos clientes usar um único
endereço de e-mail e senha para usar diversos serviços
e ter acesso a alguns sites, incluindo o e-mail
gratuito Hotmail, da Microsoft.

A vulnerabilidade está no código usado para ajudar os
usuários que esqueceram a senha para a conta. Um
recurso de "questão secreta" é usado para validar a
identidade de um usuário que precisa colocar uma nova
senha em caso de esquecimento.

Porém, quem tem uma conta no Passport criada antes de
a Microsoft implementar essa "questão secreta" pode
ter sua senha manipulada por invasores, segundo uma
mensagem publicada por Victor Manuel Alvarez Castro,
que se identificou como consultor de segurança. A
Microsoft não fez comentários sobre o assunto, por
enquanto.

Quem tem contas criadas após a criação do recurso da
"questão secreta" ter sido implementado não é atingido
pela falha - e segundo Castro, já faz "alguns anos"
que esse recurso entrou em uso.

A falha no Passport precisa também da sorte do
invasor: ele precisa saber o endereço eletrônico e o
país de origem do dono da conta. Nos Estados Unidos, o
caso fica ainda mais complicado, já que o interessado
em invadir a conta de outra pessoa também precisa
saber o estado onde mora e o código postal do
'raptado'.

"Essas condições deixam difícil para alguém explorar a
vulnerabilidade", diz Rafael Núñez, pesquisador da
Scientech da Venezuela, conhecido online como
"[RaFa]". Porém, como são cerca de 200 milhões de
contas e o tempo que estão funcionando serviços como o
Hotmail, pode haver um grande número de contas
afetadas pela falha da questão secreta, afirmou Núñez.
E o ataque seria útil para quem já conhece a vítima,
ele diz.

Uma vez no controle da conta Passport, o invasor
poderia se passar pela vítima, usando o e-mail e
outros serviços, como o comunicador MSN Messenger, e
realizar atos de "engenharia social" para coletar
outras informações.

Essa é a segunda vulnerabilidade que afeta o .Net
Passport em alguns meses. Em maio, um pesquisador de
segurança no Paquistão relatou uma falha em uma função
que permitia aos usuários do Passport que também
esqueceram suas senhas mudá-la usando uma mensagem de
e-mail enviada para um endereço associado à conta. A
falha permitia ao invasor saber a senha atualizada por
qualquer outro e-mail e não requeria muita coisa além
de saber o e-mail da vítima. 

_______________________________________________________________________
Yahoo! Mail
Mais espaço, mais segurança e gratuito: caixa postal de 6MB, antivírus, proteção contra spam.
http://br.mail.yahoo.com/

----- End forwarded message -----