Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 81, views: 44.427 •
Submitter: Ateq

Een 16-jarige Nederlander heeft een cross-site-scriptinglek in Microsofts Live-diensten ontdekt waarmee een hacker de inlogcookie van bijvoorbeeld een Hotmail-gebruiker kan stelen. Voorwaarde is dat het slachtoffer ertoe bewogen kan worden op een speciale link te klikken die de MSN-pagina opent waarop de exploit kan worden uitgevoerd. Vervolgens kan de cookie van het Live.com-domein worden opgevraagd en naar een domein van de hacker worden weggeschreven. De exploiteerbaarheid van het lek is door Tweakers.net geverifieerd. De ontdekker, Adriaan Graas, heeft een pagina aan het lek gewijd, waarop wordt uitgelegd hoe het werkt. Graas stelde Microsoft op 27 juni op de hoogte, waarbij hij aangaf bovengenoemde pagina na verloop van een 'redelijke termijn' online te zullen zetten. Het leverde hem het volgende retourmailtje op:

MSN Hotmail 5 miljoen accounts - taart op kantoor Hi Adriaan, Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin acknowledgment policy at
http://www.microsoft.com/technet/security/bulletin/policy.mspx and our general policies and practices at
http://www.microsoft.com/technet/security/bulletin/info/msrpracs.mspx. If at any time you have questions or more information, please respond to this message.

De jongen vertelde Tweakers.net dat Microsoft naar zijn mening niet snel genoeg reageerde op zijn melding van de kwetsbaarheid, en vond dat de 'redelijke termijn' na vijf dagen wel was verstreken. Volgens hem is publicatie de beste manier om het softwarebedrijf te bewegen snel actie te ondernemen; hij stelt op basis van niet nader gespecificeerde vergelijkbare gevallen te verwachten dat het bewuste lek binnen een of twee dagen gedicht zal zijn. 'Anders blijft zo'n lek een maand openstaan', aldus Graas.

Microsoft-kantoor in Schiphol-Rijk Microsoft Nederland zegt in een reactie dat het de zaak onderzoekt naar aanleiding van de publicatie van het lek en de weergave daarvan op diverse Nederlandse sites. Een woordvoerder vertelde Tweakers.net dat er bij Microsofts Security Response Center aan de bel is getrokken, maar vanwege de Amerikaanse onafhankelijkheidsviering zou er niet ogenblikkelijk op antwoord worden gerekend.

Reacties (81)

Reactiefilter:-181074+146+229+315
Als het een gatenkaas is.. Vind jij dan nog maar eens wat lekken ;)

Entertain me :7
en daarna kan de kaas dus overgenomen worden :+

ben je ineens je kaas kwijt...
edit:
reactie op BillGaetes
Ik vraag me altijd af hoe je aan zo iets begint. en waarom je daar mee bezig houden?

Maar dat zal wel aan mijn goede aard liggen zekers
:D
Als je even op de link naar die beste jongen z'n site had geklikt had je kunnen zien dat hij security + webdevelopment nogal interessant vindt. Dus misschien vond hij het interessant om de Hotmail site eens te bekijken?

Pff.. kijk voortaan eens wat verder dan je neus lang is :+
Hmmm, ik weet niet precies hoe het lek in elkaar zit, maar cross site scripting is relatief makkelijk te vinden.

Als je gewoon zit te surfen en je komt bijvoorbeeld op een site url.tld/search?q=tralalala en op de pagina staat ergens "results of query tralalala", kan iemand die weet hoe het werkt al denken "hmmmm". Vervolgens kijk je wat er gebeurt als je ervan maakt url.tld/search?q=*scripttag*alert('hoi');*/scripttag* en als die scripts tags gewoon letterlijk in de pagina output verschijnen, heb je een dergelijke fout ontdekt. Hiervoor is het natuurlijk wel zaak te zorgen dat je van de *scripttag* en */scripttag* fatsoenlijke html scripttags maakt, maar als ik dat doe dan vervormt tweakers.net die tags, omdat er anders ook een xss bug in tweakers.net zou zitten ;).
maar als ik dat doe dan vervormt tweakers.net die tags, omdat er anders ook een xss bug in tweakers.net zou zitten
Natuurlijk niet, een tekst als <script>...</script> moet natuurlijk ook gewoon weergegeven kunnen worden als iemand het zegt. Noodzaak is wel dat die < en > worden omgezet naar < en > entities, zodat de browser ze interpreteert als tekst en niet als daadwerkelijke html tags.

En zoals je kunt zien doet de software van tweakers.net dat gewoon goed :) (behalve dan dat een & niet wordt omzet in een &, maar wel terug wordt geconverteerd bij het editten, zodat ik < elke keer moet tikken als &lt; 8)7)
http://www.hackers4hackers.nl/reader.php?h4h=12&page=05

Dit was al erg lang bekend, het lek in de hierboven genoemde link is weliswaar gedicht, maar niet op een goede wijze. Na wat kleine aanpassingen was de site alweer lek.

Maargoed, leuk voor die jongen.
5 dagen is kort voor MS hoor :+
Ik denk dat het te kort is voor elk bedrijf met een website in die grootte.

Het ontwikkelen van de oplossing duurt al enkele dagen, daarna nog testen. En dan het upgraden van de vele machines zonder dat de vele gebruikers er niets van merken.

Naar mijn mening heeft hij het te vroeg vrijgegeven en had hij een maand moeten wachten ipv 5 dagen. Ook een harde deadline voor MS zou beter zijn geweest. Nu was het een 'redelijke termijn', maar die definitie verschilt wel tussen hem en MS. Hij ziet minder de grootte en complexiteit van de gehele website en komt tot een lagere aantal als 'redelijk' dan MS die wel de complexiteit weet.

Hoewel, als een 16-jarige dit kan vinden, kan een professionele hacker dat ook.
Hoewel, als een 16-jarige dit kan vinden, kan een professionele hacker dat ook.
16 jarigen zijn toch de professionele hackers? :)
Dit lek was al lang bekend, weliswaar in een iets andere vorm, maar MS had het al lang moeten fixen.

Tuurlijk, van scratch beginnen en updaten, dat doe je niet binnen vijf dagen. Maar omdat al bekend was dat dit ongeveer mogelijk was, hadden ze allang een structurele oplossing moeten hebben.

Ik vind het zwak van MS.
Meen eens dat 5 dagen wel vrij kort is, maar wat wil je als je een reactie van M$ krijgt of je even wil wachten om iedereen te beschermen?
Dat is toch een normale vraag van MS? Wat hadden ze dan moeten zeggen? "Dank voor het melden van het probleem, zodra we tijd hebben gaan we ermee aan de slag?" Dan weet je helemaal zeker dat mensen naar de pers gaan rennen om de exploit bekend te maken...
De jongen vertelde Tweakers.net dat Microsoft naar zijn mening niet snel genoeg reageerde op zijn melding van de kwetsbaarheid, en vond dat de 'redelijke termijn' na vijf dagen wel was verstreken
Och, volgens mij gaat het hier niet om de tijd waarop Microsoft in staat is om het lek te dichten, maar om in het nieuws te komen :Z

Als hij echt zo begaan was, dan had hij het niet vrijgegeven maar voor zichzelf gehouden en eventueel alleen naar Microsoft geroepen dat hij het zou doen.

Wat mij betreft puur een kwestie van aandachtstrekkerij! :r
En dan had iemands anders de lek wel gevonden en er een exploit voor geschreven en die op een pron/crack site gezet.

Wat trouwens wel netjes zou zijn van MS is de koekjes even uitzetten voordat er nog meer hacker(tjes) toehappen ;).
Dit is de vriend van m'n broer, haha, microsoft overweegt nog of ze hem hiervoor gaan vervolgen, ik denk dat dat nou een stuk dichterbij komt, ook wel te verwachten dat het hem gelukt is, al die tijd dat hij achter de computer zit ipv zijn vwo PTA's te leren. Hij is met dit nieuws trouwens ook al op radio caz en radio 1 geweest vandaag :+
Daar ben ik het dus niet mee eens: Microsoft wist al van dit lek voordat die jongen het erachter kwam. Microsoft moet gewoon eens leren dat die zaken die zo essentieel zijn tijdig worden verbeterd. In mijn ogen heeft die jongen dus gelijk om na 5 dagen de zaak bekend te maken. Misschien dat Microsoft behalve een rechtzaak te willen gaan starten, zich beter kan concentreren op het dichten van het lek.

En ja ik gebruik zelf heel wat (legale) producten van Microsoft en ben daarom van mening dat lekken tijdig moeten worden gedicht.
Precies mijn gedachte.

Waarom bepaalt iemand die een fout heeft gevonden wat een redelijke termijn is?! Kan hij meekijken in de keuken van ms? ging de exploit zo ver?
Stel dat ms bezig is met de oplossing van een veel groter probleem, en dit voor hun een relatief klein probleem is?

Het gaat hier om een exploit (zover ik begrijp) waarbij een gebruiker op een speciale link moet klikken, en waarmee zijn hotmail gegevens kunnen worden opgevraagd?

Don't get me wrong, het is een knappe ontdekking (hey, ik zal 'm nooit vinden), maar het lijkt mij eerder dat de ontdekker niet kon wachten tot hij zijn fifteen minutes of fame kon gaan cashen, en daarom zelfstandig bepaalde dat vijf dagen wel voldoende zou zijn.
ik hoop niet voor hem dat ms er een zaak van maakt, want zijn ouders zouden er niet zo blij om zijn ...
Maar ondertussen toch "famous for 5 sec's" :)
Hoezo een zaak van maken, zoals MS al zegt is het een "unwritten" rule dat een security expert een lek niet openbaar maakt. Voordat je wordt aangeklaagd kan worden zal er toch een "written" wet moeten zijn op basis waarvan jij kan worden aangeklaagd.

Ik moet zeggen dat de 5 dagen ook genoeg zijn, het excuus dat het op miljoenen pc's moet werken en dat het daarom zo lang duurt gaat niet op bij een online dienst.
Het is niet op 1 webserver geinstalleerd, maar op 10-tallen. Die moeten elk ge-upgrade worden.

En omdat miljoenen er gebruik van maken, moet het ook nog eens zonder down-time gaan.

Het is geen huis-tuin en keuken website :Y)
tis inderdaad niet erg aardig van deze jonge, - maar als ik hierboven mensen over een maand hoor praten zakt mijn broek wel echt af... ik denk dan ook dat een periode van 10 werk dagen het maxiumen zo moete zijn... en zeker voor een dergelijke security-lek...
Wel, ik ben een old-school hacker (uit de tijd van en voor Mitnick) en het is volgens mij een unwritten rule bij echte hackers (niet crackers of script-kiddies) dat je een lek DIRECT bekendmaakt aan de beheerder alsook direct voor peer review ter beschikking stelt.

Ik vind het ook normaal. Als ik een enorm groot lek vind in de TCP/IP stack van BSD die een computer doet crashen en ik vertel dit enkel in het geheim aan Microsoft, dan zal Microsoft dit oplossen in hun implementatie van de BSD TCP/IP stack en kunnen ze daarna (ze zijn toch al evil) alle computers van de concurrentie (die zich baseren op FreeBSD) platleggen waardoor zij kunnen zeggen: maar het gebeurt niet met ons, wij zijn beter beveiligd etc.

Dat er script-kiddies ten over zijn die dit misbruiken, dat is spijtig maar er zullen altijd slechte mensen in de wereld zijn, zowel online als offline.
Volgens hem is publicatie de beste manier om het softwarebedrijf te bewegen snel actie te ondernemen;
Goed gedaan, ik vind dat Microsoft zulke lekken veel sneller moet dichten.
Je kan ook het onmogelijke verlangen, bij een grote site als hotmail kan je niet zomaar even wat code veranderen
Mee eens, 5 dagen is wel heel erg ongeduldig. Een maandje was realistischer geweest. Adriaan moet zich wel realiseren dat Microsoft best wel veel lekken te dichten heeft.
5 dagen is een goed limiet voor deze jongen. De kans dat MS het binnen 2 weken gerepareerd heeft is veel te groot en dan mist hij zijn 5 secs of fame.

Bij deze je vijf seconden boy. Wat was je naam ook alweer?

* Xarenion heeft een nasty bui vandaag. Zal door het weer komen.
Gaatje pluggen en playen maar.... :)
niet netjes dat hij gelijk een hele handleiding maakt voor zo hotmail-accounts in handen te krijgen! |:(
Daarom lijkt het mij ook niet meer dan logisch dat Miscrosoft hem hiervoor vervolgt. Redelijke termijn is bij mijn weten drie weken (in NL iig).
Het aparte is dat dit wel vrij bekende exploits zijn.

het inloggen en vervolgens wordt je cookie gestolen via een java script.
dat Microsoft hier geen IP binding aan heeft gegeven (aan de cookie) dat verbaast me zeer.

stomme fout wat makkelijk voorkomen had kunnen worden.
ik geeft deze jongen groot gelijk het online te zetten.
Het probleem is dat MS het niet aan 1 IP kan binden, is omdat ze 10-tallen servers hebben ivm loadbalancing voor de miljoenen gebruikers. Dus zouden ze het aan al die 10-tallen IP adressen moeten binden, welke niet eens onder hun beheer staan !
1) Wat heeft het ip van de server hier nou weer mee te maken :? Er word bedoelt dat het ip adres van de bezoeker gekoppeld word aan de sessie. Op deze manier heb je er niks aan om de cookie te stelen omdat het ip adres wat opgeslagen staat in de sessie op de server niet overeenkomt met het ip van de cookie "lener"

2) IP adressen van alle servers kunnen simpel vervangen worden door 1 adres dmv proxy's

3) Weet wel zeker dat Microsoft wel deglijk hun eigen ip-adressen/subnets beheren
@edit:
zelfde als evopower.
En dan nog ?

Ze kunnen dat niet aan de client IP binden want er bestaan nog steeds ISP's die hun proxy aanraden of zelfs verplichten en daardoor kan je tijdens dezelfde sessie soms toch met verschillende ip's op de server terechtkomen.
En dat past dan weer bij de (oude) microsoft filosofie. Alles voor gebruikersvriendelijkheid.

Geen cookie, is gegevens nog een keer invullen.
De meeste proxys van isps zijn niet anoniem...
De reden dat Microsoft geen IP binding geeft aan zo'n cookie is omdat er heel wat mensen zijn met een dynamisch ip adres, en mensen zijn lui dus om elke keer opnieuw in te loggen zullen ze ook niet blij mee zijn.
Leuk verhaal, maar veiligheid is belangrijker dan wat triviale functionaliteit. Als 't niet veilig kan, moet je 't gewoon niet doen.
Cookies zijn ondingen. Dat elke willekeurige website zomaar een privacy-gevoelig bestandje op je PC kan zetten n veranderen n later weer lezen deugt sowieso niet.
Beetje naieve gedachte om te denken dat in de hevige concurrentie strijd van allerlei diensten op het internet het niet steeds moeten inloggen een triviale functionaliteit is..

Gemak dient de mens, al brengt het dus wel meer risico's met zich mee.. Risico's die kennelijk te overzien zijn, en eventueel gefixt kunnen worden.. Er worden overal op allerlei niveau's van dat soort afwegingen gemaakt..

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Intel Smartphones Processors Sony Microsoft Games Apple Politiek en recht Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013