日前,微软Passport服务中发现的一个严重安全漏洞可使用户的账户信息,包括他们的个人信息和信用卡号码处于被偷窃的风险之中。
该漏洞存在Passport的密码恢复机制中,可使攻击者在不知用户名的情况下改变任一账户的密码。该漏洞5月7日晚公布在安全邮件列表Full Disclosure中。
攻击方式的简便性以及Passport账户中储存的经常使用的数据的高价值性使这一漏洞具有高危险性。公布该漏洞的作者自称属于一家巴基斯坦安全咨询公司并正报考MBA,叫Muhammad Faisal Rauf Danka。他在给CNET News.com网站的一封电子邮件中称,“这很难称之为脆弱性,只不过是网络应用逻辑中的一个漏洞,已存在了很长时间,我最近才发现。”
微软公司迅速采取了预防措施,防止网络攻击者利用该问题,并在美国太平洋时间当晚8时发布安全警告。至晚11时30分,微软公司已基本关闭了这一脆弱功能。该公司发言人称:“我们已关闭了所有重置密码的功能。”
该漏洞可使攻击者利用任一网址,或URL向Passport服务器发出一个重置密码的请求。URL中包含要改变的账户的电子邮件地址以及攻击者希望将重置信息发送至的地址。通过在浏览器地址栏输入上述内容,攻击者就能够使Passport服务器返回一个可重置账户密码的链接。通过返回信息中的链接,攻击者就能改变被攻击者的密码。
截至5月7日晚,尚不清楚是否所有的Passport账户均受该漏洞影响,但几名安全专家已证实该漏洞确实存在。