Schwachstelle in Microsofts Passport

Durch einen schwer wiegenden Fehler in Microsofts Passport-Service können Benutzer-Accounts kompromittiert werden. Passport ist Bestandteil von Microsofts .NET-Strategie zur automatisierten Registrierung für Dienste sowie Internet-Angebote und wurde bereits mehrfach wegen mangelnder Datenschutz-Maßnahmen kritisiert. Eine Sicherheitslücke im Authentifizierungssystem wurde bereits kurz nach dem Start von Passport beseitigt. Passport speichert persönliche Daten der Benutzer, unter anderem auch Kreditkartennummern.

Die neu entdeckte Lücke, die offenbar seit Bestehen von Passport existiert, ermöglicht einem Angreifer, Passwörter von bekannten Accounts zurückzusetzen und anschließend neu zu setzen. Dazu genügt eine einzige URL, in der die Mail-Adresse des zu ändernden Account und die Mail-Adresse des zu benachrichtigenden Accounts enthalten sind. In der Bestätigungs-Mail des Passport-Dienstes ist dann ein Link enthalten, der die Neueingabe eines Passwortes ermöglicht. Muhammand Faisal Rauf Danka, ein pakistanischer Security-Consultant, meldete laut seinem Posting auf der Sicherheits-Mailinglist Full Disclosure das Problem bereits mehrmals an Microsoft. Microsoft reagierte mittlerweile und hat die Funktion des Zurücksetzens abgeschaltet.

Danka berichtet, er sei auf das Problem gestoßen, nachdem das Konto eines Freundes von einem Angreifer manipuliert wurde. Eine Aufforderung, auch den Account von Danka zu knacken, führte dann zur Aufdeckung des Problems. Das Sicherheitsleck wurde bis zur Sperrung der Funktion von mehreren Security-Consultants nachvollzogen. (dab)