Outlook.com: Cookie-Hijacking erlaubt Einsicht in fremde Accounts
von caschy | 12 Kommentare
Bei Hotmail und Outlook gibt es wohl eine Sicherheitslücke. Bevor ihr jetzt in Panik verfallt: keine Sorge, so leicht ist es nicht. Dennoch ist die Cookie-Lücke eine Erwähnung wert. Fakt ist: Outlook speichert, wie viele andere Dienste auch, Einstellungen und Co in einem Cookie. Microsoft gibt seinem Outlook-Cookie aber noch etwas mit: die Bestätigung über einen erfolgreichen Login-Vorgang.
Sofern ich also irgendwie an euer Outlook-Cookie komme, dann bin ich drin in eurem Account.Ich muss weder Benutzernamen noch Passwort wissen. Die Cookie-Datei lässt sich dann mittels Cookie Importer in den Firefox einpflanzen und erlaubt so Lesen von Mails. Habe ich Zugriff auf euren PC, dann ist Holland eh in Not, aber unter Umständen ist man in Netzwerken angreifbar. Hier gibt es mehr zum Thema.
Wird geladen ...
Wer SSL nicht nutzt hat selber Schuld
genau SSL nutzen dann passiert sowas auch nicht.
was hat ssl mit den cookies zu tun?
LOL SSL :D:D: haha… aber mal ganz ehrlich caschy, diese meldung… dann kannst du auch schreiben, dass jeder, der zugriff auf euren computer hat, einfach alle im firefox gespeicherten passwörter auslesen kann und zugriff auf ALLE login-seiten hat… Oo
Das betrifft weniger Hotmail und Outlook als eher sämtliche Seiten die eingeloggte Benutzer per Cookie identifizieren und damit etwa 90% des Internets.
Trick 17: Einfach eigene portable Software vom USB-Stick starten oder einfach alle Cookies im Browser löschen wenn man mit surfen fertig ist.
So werden übrigens seit Jahr und Tag Accounts von Filehostern und diversen für Kinder nicht umbedingt geeigneten Seiten unters Volk gebracht. Einfach die passenden Cookies zum Download anbieten. Ich wette das klappt auch bei zig anderen populären Diensten, also am besten nur mit einer Cookie-Whitelist ins Netz. 😉
Wenn man schon so wie ich Outlook.com benutzt, kann man auch den Internet Explorer mit den eingebauten Addon (ab Windows 7) benutzen. Da dieser gezeigte Hijacking vorfall mit Firefox und den dazugehörigen Addon abhängig ist.
Also sorry Cashy, aber ich dachte jetzt kommt eine schreckliche News 😀
Zu den SSL Leuten: Mit helm wäre das nicht passiert.
Was hat dieses Video / Vorfall mit SSL zu tun?
Naja, sehe das Problem auch eher weniger gravierend. Wer Zugriff auf den Rechner hat, kann eh alles auslesen, was er möchte. Da interessiert Outlook nun auch nicht so wirklich.
Firefox Control+Umschalt+P -> Private Browsing 😉
Löscht alle Cookies die während des Modus erstellt wurden automatisch nach dem schließen des Browsers 😉
Äh, Jungs? Habt ihr euch angekuckt, wie der Angriff funktioniert? Weder SSL noch die Nutzung des Internet Explorers helfen. Der Firefox wird nur als Werkzeug für die Demonstration benutzt; das Problem ist die Bedeutung des Cookieinhalts, irrelevant über welchen Browser und ob die Verbindung verschlüsselt ist. Allerdings ist es so recht einfach, an dieses Cookie zu kommen. Das eigentliche Problem ist die Bedeutung des Cookies – sobald man ausgeloggt ist, muss die Session serverseitig beendet werden und darf nicht durch irgendeinen clientseitigen Code wiederhergestellt werden. Als ob Microsoft zum ersten Mal so was baut…
Aber es stimmt schon, noch ist diese Lücke nicht wirklich relevant, wie immer werden solche Lücken erst durch Multi-Exploits teuer. Wobei Microsoft diese relativ einfach und schnell stopfen kann – ist für ein grosses Softwareunternehmen nur extrem peinlich.
Da Einigen nicht klar ist, wie SSL zum Thema Beiträgt -> http://hoohead.hoohost.org/2012/12/ssl-oder-schuetzt-auch-ein-helm/