Passport e il buco-passpartout

Redmond (USA) – Alcuni esperti di sicurezza hanno recentemente lanciato l'allarme per quella che considerano una delle più gravi vulnerabilità di sicurezza emerse in Passport, il noto servizio di autenticazione sul Web di Microsoft.

Secondo quanto descritto in un messaggio apparso sulla mailing-list di sicurezza Full Disclosure , la falla interessa – o meglio, interessava, visto che Microsoft avverte di aver già tappato il buco – il meccanismo di recupero delle password che Passport mette a disposizione degli utenti più” distratti”.

Secondo il post, un aggressore avrebbe potuto sfruttare la debolezza per cambiare la password di qualsiasi account di cui conosca il nome utente: in questo modo il malintenzionato avrebbe potuto autenticarsi nel servizio con la nuova password e rubare tutte le informazioni dell'utente che ha creato l'account, incluso l'eventuale numero di carta di credito.

L'esperto di sicurezza che ha divulgato il baco sostiene che la semplicità con cui l'attacco poteva essere portato a termine faceva di questa vulnerabilità un problema molto serio, soprattutto considerando la grande diffusione di Passport.

Della gravità della situazione si è resa conto la stessa Microsoft che, nel giro di sole tre ore dalla pubblicazione dell'advisory, ha provveduto a bloccare la funzionalità a rischio così da impedire l'azzeramento delle password attraverso l'invio al server di una URL malevola: questa è infatti la tecnica che, secondo alcuni esperti, era già stata utilizzata da uno o più cracker per ingannare il sistema e ricevere, nella propria mailbox, un link attraverso cui poter modificare la password di altri utenti.

Il team di sicurezza di Microsoft si è detto al lavoro per riprogettare il sistema di recupero delle password in modo che non sia più vulnerabile a questo tipo di attacchi.