Microsoft behebt weitere Sicherheitslücke in Passport

Eine neue Schwachstelle in Passport ermöglichte es einem Angreifer, ältere Passportkonten zu kompromittieren. Die Schwachstelle wurde von dem mexikanischen Sicherheitsspezialisten Victor Manuel Alvarez Castro entdeckt und in einem Internetforum gemeldet. Wie das Sicherheitsloch genau ausgenutzt werden kann, ist nicht bekannt, jedoch existiert es nur auf älteren Passportkonten, bei denen die "Geheime Frage"-Funktion noch nicht implementiert ist. Die Passwörter können zurückgesetzt werden, um anschließend das gesamte Konto auszuspionieren. Um die Konten zu manipulieren, muss der Angreifer zudem die E-Mail-Adresse und das Land des Benutzers wissen.

Microsoft hat mittlerweile reagiert und das Sicherheitsproblem beseitigt. Nach Angaben von Microsoft wurden keine Konten ausspioniert. Neuere Konten, bei denen die Secret Question vorhanden ist, um die Echtheit von Benutzeranfragen bei einem Passwort-Reset zu verifizieren, waren von dem Fehler nicht betroffen.

Dies ist bereits die zweite Sicherheitslücke in diesem Jahr in Microsofts Anmeldedienst Passport. Bereits Anfang Mai dieses Jahres wurde eine Schwachstelle beseitigt, bei der ebenfalls die Passwörter zurückgesetzt werden konnten. Mittlerweile wäre Microsoft per Gesetz verpflichtet, etwaige Kompromittierungen von Benutzerkonten an ihre Kunden zu melden, zumindest wenn der Kunde in Kalifornien wohnt. (dab)