Outlook.com: Cookie-Hijacking erlaubt Einsicht in fremde Accounts

Bei Hotmail und Outlook gibt es wohl eine Sicherheitslücke. Bevor ihr jetzt in Panik verfallt: keine Sorge, so leicht ist es nicht. Dennoch ist die Cookie-Lücke eine Erwähnung wert. Fakt ist: Outlook speichert, wie viele andere Dienste auch, Einstellungen und Co in einem Cookie. Microsoft gibt seinem Outlook-Cookie aber noch etwas mit: die Bestätigung über einen erfolgreichen Login-Vorgang.

Sofern ich also irgendwie an euer Outlook-Cookie komme, dann bin ich drin in eurem Account.Ich muss weder Benutzernamen noch Passwort wissen. Die Cookie-Datei lässt sich dann mittels Cookie Importer in den Firefox einpflanzen und erlaubt so Lesen von Mails. Habe ich Zugriff auf euren PC, dann ist Holland eh in Not, aber unter Umständen ist man in Netzwerken angreifbar. Hier gibt es mehr zum Thema.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Wer SSL nicht nutzt hat selber Schuld

  2. genau SSL nutzen dann passiert sowas auch nicht.

  3. was hat ssl mit den cookies zu tun?

  4. LOL SSL :D:D: haha… aber mal ganz ehrlich caschy, diese meldung… dann kannst du auch schreiben, dass jeder, der zugriff auf euren computer hat, einfach alle im firefox gespeicherten passwörter auslesen kann und zugriff auf ALLE login-seiten hat… Oo

  5. Das betrifft weniger Hotmail und Outlook als eher sämtliche Seiten die eingeloggte Benutzer per Cookie identifizieren und damit etwa 90% des Internets.

  6. Trick 17: Einfach eigene portable Software vom USB-Stick starten oder einfach alle Cookies im Browser löschen wenn man mit surfen fertig ist.
    So werden übrigens seit Jahr und Tag Accounts von Filehostern und diversen für Kinder nicht umbedingt geeigneten Seiten unters Volk gebracht. Einfach die passenden Cookies zum Download anbieten. Ich wette das klappt auch bei zig anderen populären Diensten, also am besten nur mit einer Cookie-Whitelist ins Netz. 😉

  7. Wenn man schon so wie ich Outlook.com benutzt, kann man auch den Internet Explorer mit den eingebauten Addon (ab Windows 7) benutzen. Da dieser gezeigte Hijacking vorfall mit Firefox und den dazugehörigen Addon abhängig ist.

    Also sorry Cashy, aber ich dachte jetzt kommt eine schreckliche News 😀

    Zu den SSL Leuten: Mit helm wäre das nicht passiert.
    Was hat dieses Video / Vorfall mit SSL zu tun?

  8. Naja, sehe das Problem auch eher weniger gravierend. Wer Zugriff auf den Rechner hat, kann eh alles auslesen, was er möchte. Da interessiert Outlook nun auch nicht so wirklich.

  9. Firefox Control+Umschalt+P -> Private Browsing 😉
    Löscht alle Cookies die während des Modus erstellt wurden automatisch nach dem schließen des Browsers 😉

  10. Äh, Jungs? Habt ihr euch angekuckt, wie der Angriff funktioniert? Weder SSL noch die Nutzung des Internet Explorers helfen. Der Firefox wird nur als Werkzeug für die Demonstration benutzt; das Problem ist die Bedeutung des Cookieinhalts, irrelevant über welchen Browser und ob die Verbindung verschlüsselt ist. Allerdings ist es so recht einfach, an dieses Cookie zu kommen. Das eigentliche Problem ist die Bedeutung des Cookies – sobald man ausgeloggt ist, muss die Session serverseitig beendet werden und darf nicht durch irgendeinen clientseitigen Code wiederhergestellt werden. Als ob Microsoft zum ersten Mal so was baut…

    Aber es stimmt schon, noch ist diese Lücke nicht wirklich relevant, wie immer werden solche Lücken erst durch Multi-Exploits teuer. Wobei Microsoft diese relativ einfach und schnell stopfen kann – ist für ein grosses Softwareunternehmen nur extrem peinlich.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.