Beveiligingslek Hotmail maakte stelen e-mail mogelijk

Windows Live Hotmail bevatte een beveiligingslek, waardoor kwaadwillenden e-mails van Hotmail-gebruikers konden kopiëren. Daartoe hoefden ze slechts een speciaal geprepareerde e-mail te sturen. Het lek is actief misbruikt.

Hotmail logo Onderzoekers van Trend Micro ontdekten een aanval op Microsoft Hotmail. Hackers gebruikten een beveiligingsprobleem in Hotmail om e-mails en contactpersonen van gebruikers door te sturen naar een ander e-mailadres. Het beveiligingsprobleem werd veroorzaakt door een bug in de css-filtering die Hotmail toepast op e-mails. Door een speciaal karakter in te voegen, konden kwaadwillenden javascript-code injecteren.

In de door Trend Micro ontdekte aanval gebruikten de aanvallers deze bug om externe javascript-code te laden, die er op zijn beurt voor zorgde dat de informatie werd geforward. Zodra een gebruiker zijn Hotmail-sessie beëindigde, werd het doorsturen van de mails beëindigd.

Inmiddels heeft Microsoft het lek gedicht. Het is onduidelijk of het beveiligingslek op grote schaal is misbruikt; volgens Trend Micro zijn er aanwijzingen dat het om een gerichte aanval gaat, die dus niet op Hotmail-gebruikers in het algemeen is gericht.

IT-banen

Reacties (57)

kasperkb 24 mei 2011 10:38

Ik heb ook veel problemen gehad met Hotmail. Automatisch verstuurde berichten naar al mijn contacten, zonder dat ik naar mijn weten rare berichten had ge-opend.

Dit was overigens een jaar geleden, maar wellicht hetzelfde lek geweest. De oplossing was simpel voor me; ik heb al mijn contacten uit het adresboek gehaald.

RocketKoen @kasperkb • 24 mei 2011 10:46

Er hoeft maar 1 keer iemand uit je adresboek een mailtje gestuurd te hebben met heel zijn/haar adresboek in de target of CC box (in plaats van bcc) Of misschien was je het zelf.

Die spam is daarna niet vanaf jouw hotmail verstuurd, maar via een aangepaste mail server die jouw hotmail adres opgeeft als afzender.
Als je in de header van die spam zou kijken, kun je zien dat het niet van een server van hotmail afkomstig is.

GiLuX @RocketKoen • 24 mei 2011 14:50

@RocketKoen

Als je in de header van die spam zou kijken, kun je zien dat het niet van een server van hotmail afkomstig is.

oh nee?

hier een paar headers:

---
Received: from bay0-omc1-s23.bay0.hotmail.com ([65.54.190.34]) by bay0-hmmc2-f14.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 22 May 2011 12:38:19 -0700
Received: from BAY151-W1 ([65.54.190.61]) by bay0-omc1-s23.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 22 May 2011 12:38:16 -0700
---

Received: from bay0-omc2-s16.bay0.hotmail.com ([65.54.190.91]) by bay0-hmmc2-f3.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 14 Apr 2011 14:53:31 -0700
Received: from BAY149-W43 ([65.54.190.125]) by bay0-omc2-s16.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 14 Apr 2011 14:53:28 -0700

---

en ik kan zo door gaan voor een boel van mijn contacten.

- het wordt dus wel degelijk vanuit het hotmail netwerk verstuurd.
- zover ik weet is het niet mogelijk om het from adres aan te passen bij hotmail dus men is daadwerkelijk ingelogged op die accounts
- men kent de hele contacten lijst van het slachtoffer
- de spam mailtjes zijn opgesteld in dezelfde taal als de ingestelde locale door eigenaar gehackte account
- dit is nu al bijna twee jaar aan de gang.

voila..

[Reactie gewijzigd door GiLuX op 22 juli 2024 17:47]

Verwijderd @kasperkb • 24 mei 2011 10:48

je wachtwoord veranderen verhelpt het bijna altijd..

Sissors @Verwijderd • 24 mei 2011 11:55

Inderdaad, itt tot wat RocketKoen zegt is uit mijn ervaring 99% van de spam die naar adresboek van mensen gaat (vaak van hotmail inderdaad) gewoon door mensen die hun wachtwoord op een phishing site hebben ingevoerd, of degene die die e-card gaan openen en eerst even nog een keer hun hotmail wachtwoord invoeren, etc.

Een belletje dan erachteraan met de mededeling dat ze hun WW moeten aanpassen lost het steeds weer op.

Sowieso controleren volgens mij hotmail en andere grote mail providers allemaal of de header overeenkomt met van wie het af zou horen te komen, en dat ze in ieder geval een waarschuwing geven als er iets niet klopt.

[Reactie gewijzigd door Sissors op 22 juli 2024 17:47]

SuperDre @kasperkb • 24 mei 2011 13:30

zelfde gebeurd bij bijna elk emailadres, ze hebben je emailadres maar ergens vandaag gehaald (bv een website) en dan gebruiken ze die als spoofadres..

Bullet NL 24 mei 2011 10:36

*zucht* en weer een bedrijf dat laat zien dat men het allemaal niet zo heel nouwkeurig neemd met de beveiliging van de gegevens van haar users/klanten.

Natuurlijk is alles wat te coderen is ook weer te decoderen of kraken. Ondanks alle goede bedoelingen van bedrijven lees je de laatste tijd toch veel te vaak dat diensten gewoon domweg te vaak worden gehackt.....

vandeGerrit @Bullet NL • 24 mei 2011 10:42

Je diepe zucht is niet echt op zijn plaatst. Heb jij informatie dat Microsoft niet alles er aan deed om het lek te dichten / of wist van deze lek en het open liet? Een bug valt naar mij idee niet in deze categorie van na-latigheid.

Je kunt simpel weg niet alles dichten, en als er weer een nieuwe methode wordt gevonden wordt deze gedicht, en gaat men weer op zoek naar een andere.

supersnathan94

Internet
Privacy

@vandeGerrit • 24 mei 2011 11:19

klopt. Microsoft heeft het lek gelijk gepatched en het zou nu niet meer voor moeten komen.

The attack takes advantage of a script or a CSS filtering mechanism bug in Hotmail. Microsoft has already taken action and has updated Hotmail to fix the said bug.

hier een stukje uit het originele bericht waarin precies wordt uitgelegd wat er gebeurde. het komt er dus op neer dat een regel code door een bepaald teken in tweeen word gedeeld waardoor een totaal andere code ontstaat die de mailtjes doorstuurt via de CSS engine. echt heel raar, maar wel slim bedacht om dat zo te doen.

We analyzed the embedded crafted code before the actual email message’s content and discovered that once Hotmail’s filtering mechanism works on the code, it ironically helps inject a character into the CSS parameters to convert the script into two separate lines for further rendering in the Web browser’s CSS engine. This allows the cybercriminals to turn the script into something that allows them to run arbitrary commands in the current Hotmail login session.

mcpswijnenburg @Bullet NL • 24 mei 2011 10:39

...lees je de laatste tijd toch veel te vaak dat diensten gewoon domweg te vaak worden gehackt

En daar zeg je het zelf al, het word in de media de laatste tijd gewoon flink uitvergroot, ook tweakers.net doet daar aan mee. En waarom ook niet. Zo worden bedrijven zich op termijn misschien beter bewust van de risico's en gaan ze meer tijd/geld steken in de beveiliging.

Bullet NL @mcpswijnenburg • 24 mei 2011 10:42

Klopt, het uitvergroten van dit soort problemen is uit eindelijk gunstig voor de consument, maar het blijft een feit dat het eigenlijk schrikbarend is hoe bedrijven met onze gegevens om gaan.

Eigenlijk zou er een wikihacks moeten komen waar bedrijven die zich er gemakkelijk van afmaken en onze gegevens relatief eenvoudig laten hacken publiekelijk aan de schandpaal zouden moeten worden genageld.

GateKeaper @Bullet NL • 24 mei 2011 12:22

eigenlijk schrikbarend is hoe bedrijven met onze gegevens om gaan.

Schrikbarend hoe bedrijven met onze gegevens om gaan, of schrikbarend hoeveel mensen zich op het illegale pad begeven / hoeveel verstand hackers eigenlijk van hun zaken hebben?

Persoonlijk begin ik steeds meer het gevoel te krijgen dat hackers geen gozertjes meer zijn op de zolderkamer, maar het steeds meer neigt naar georganiseerde misdaad.

Natuurlijk kan je je tegen heel veel beveiligen, maar als er iemand is die een compleet serverpark huurt van Amazon dan wordt het natuurlijk wel steeds moeilijker.

Het blijft een wedstrijd, de ene keer wint het bedrijf de andere keer de hacker. Voor mij benadrukt het vooral hoe voorzichtig wij (de consument) moeten zijn met het achterlaten van informatie die je liever voor jezelf houdt.

fommes @GateKeaper • 24 mei 2011 14:45

Daar heb je een punt, het is inderdaad een wedstrijd en de 1000en attempts die mislukken worden niet genoemd uiteraard.

Dus het lijkt erop dat de eerste de beste 'hacker' gelijk binnen is, terwijl er misschien maanden lang aan gewerkt moet worden en er duizenden anderen ook van alles proberen.

bogy @fommes • 25 mei 2011 00:15

het is omwille van al die redenen dat ik mijn gegevens niet meer aan het public domain toevertrouw...

ik heb een eigen domein dat ik voor mezelf en iedereen van de familie gebruik voor mail; zo hoeft er bij ons niemand gebruik te maken van hotmail/gmail om mail te hebben en kan iedereen gebruik maken van email zonder zich zorgen hoeven te maken over wat er met de inhoud van de mails gebeurt.

Aangezien ik zelf wel wat van computers ken hebben alle familieleden toegang tot hun mailbox via IMAP of POP (naargelang hun eigen kennis van computers) en kunnen ze wanneer ze op vakantie zijn steeds aan hun mail via webmail. Uiteraard is elke verbinding beveiligd met een erkend SSL certificaat; voor webmail betekent dat wanneer ze willen inloggen dat ze er steeds op moeten letten dat het hangslotje groen is (of de adresbalk; naargelang de browser)

Uiteraard missen ze wel een aantal dingen die google of microsoft ze extra bieden zoals g.Docs of de microsoft online storage; maar dat zijn nu niet bepaald zaken die met email te maken hebben en daar hebben ze allemaal oplossingen voor (openoffice; offline backup dmv externe harddisk, ...)

Het enige verschil is dat ik een iets hogere rekening heb voor de elektriciteit; mijn server moet namelijk elke dag en nacht online blijven... maar dat heb ik graag over voor mijn privacy... (en anders zou hij toch al 16uur per dag online moeten staan; dus voor die acht uur extra maakt het nu ook niet veel verschil meer)

Verwijderd @GateKeaper • 24 mei 2011 14:40

Nu heb ik wel eens gehoord dat er in cybercrime meer geld omgaat dan in drugs related crime. Ik denk ook dat als je een goed verstand van zaken hebt en geen 6 jaar werk-ervaring dat cybercrime een mooie oppertunity is.

Durft iemand zich uit te laten over pakkans met drugs itt cybercrime?

ff een snelle google: http://www.google.nl/sear...bercrime+drug+crime+money

M3nn0M3nn0 @Bullet NL • 24 mei 2011 10:40

Dat hacken is helemaal niet 'domweg' en het is zeker niet zo dat een bedrijf als Microsoft het niet zo nauw neemt met de beveiliging van hun producten. Hacks komen nou eenmaal voor, zeker bij een groot bedrijf als Microsoft.

Ik vind het eerder mooi dat er bedrijven of groepen bezig zijn dit soort dingen te onderzoeken, vaak zonder groot winstbejag.

Rutix @Bullet NL • 24 mei 2011 10:43

Ik vind je opmerking over "niet zo heel nauwkeurig neemd met de beveiliging" beetje misplaatst. Dit soort bugs zitten overal in. Ze hebben de lek gedicht meteen toen geinformeerd werden. Elke systeem is te hacken en je kunt nooit een systeem 100% waterdicht maken.
Probleem met deze hacks is dat als ze niet massaal gebruikt worden het even duurt tot men erachter komt.

sypie @Bullet NL • 24 mei 2011 11:01

Als programmeurs net zulke schoonheidsfoutjes maken als jij dan is het ook best logisch dat er lekken te vinden en te gebruiken zijn. Als alle andere code z'n werk doet, op een beveiliging controleren na, dan is er niets aan de hand, alles werkt toch?

YopY @Bullet NL • 24 mei 2011 11:14

*zucht* en weer een bedrijf dat laat zien dat men het allemaal niet zo heel nouwkeurig neemd met de beveiliging van de gegevens van haar users/klanten.

Ik denk dat dit juist komt doordat ze hun product probeerden te beveiligen. Zoals je in het artikel leest zat er een bug in de CSS filtering - dwz dat CSS in een e-mail (denk ik) gefilterd wordt zodat het niet stoort met de opmaak van de Hotmail pagina, en dat afbeeldingen niet getoond worden zodra je een afbeelding binnenhaalt (dat is ook een beveiligingsfeature).

SuperDre @Bullet NL • 24 mei 2011 13:29

Wat een onzin opmerking, fouten kunnen worden gemaakt, en bij internet/web is dat heel snel gedaan zonder dat je er erg in hebt.. 100% veilig kan helemaal niet..

Verwijderd 24 mei 2011 10:44

Zijn er tweakers die ook weten of dit lek misbruikt kan worden onder systemen anders dan Windows? Of geldt dit voor alle systemen waar Hotmail op te openen is?

YopY @Verwijderd • 24 mei 2011 11:17

Het lijkt erop dat dit platform-onafhankelijk is - de methode injecteert Javascript, dat voor zover ik weet op alle gangbare browsers uitgevoerd kan worden.

supersnathan94

Internet
Privacy

@Verwijderd • 24 mei 2011 11:23

dit geld voor alle systemen die een CSS engine in de browser hebben zitten. de Standalone client windows live mail is dus wel zonder gevaar te gebruiken.

LinuX-TUX 24 mei 2011 10:45

Ik had al zo'n vermoeden. Had van een paar kennissen mails gekregen en die had ik ook vriendelijk geplied (omdat ze regelrecht door de spam filtering heenkwamen en de IP headers authentiek van hotmail zelf waren) dat ze waarschijnlijk geinfecteerd waren.

Na 2 verschillende scans bij 2 verschillende personen bleken ze totaal clean te zijn en begon ik al argwaan te krijgen.

Vermoeden bevestigd

Hoop dat het nu echt gepatched & dicht blijft.

10K @LinuX-TUX • 24 mei 2011 10:50

Dat heb ik ook! Ik krijg soms ook mails die gewoon van bekenden zijn maar als ik ze dan open dan blijkt het keihard spam te zijn. Maar hier heb ik, en veel andere die hotmail gebruiken, al een tijdje last van dus dit lek moet er echt heel lang zijn.
Niet dat ik Hotmail nog veel gebruik, maar het blijft natuurlijk vreemd dat dit zomaar kan, zeker bij zo'n groot bedrijf, en dat het pas zo laat ontdekt wordt en door 'trend micro 'nog wel

[Reactie gewijzigd door 10K op 22 juli 2024 17:47]

Sissors @LinuX-TUX • 24 mei 2011 11:59

Lijkt mij bijzonder onwaarschijnlijk, je kan beter die bekende vertellen dat ze niet e-cards moeten openen, en al helemaal niet als je dan je hotmail wachtwoord moet invoeren (en soortgelijke dingen niet openen). 99.9% van die spam komt simpelweg van idioten die dat telkens weer doen (iig ik heb het vaak zat dat het binnenkomt, en elke keer weer is het opgelost zodra mensen hun wachtwoord wijzigen).

scorpionv 24 mei 2011 12:18

Ik krijg de laatste tijd veel spam email van bekenden met een 'rammelende' Nederlandse tekst. Beetje Google vertaal Nederlands:

Hi,

Kijk eens wat een leuke site ik heb gevonden: [insert link naar cash bonus blabla site]
Ik speel al weken mee, en ik win elke dag. Klik hier om ook mee te doen!

Groeten [naam bekende]

Maar dan met slecht Nederlands, slechte interpunctie etc etc.

Hotmail herkent deze berichten niet als spam, ik moet ze altijd zelf weggooien. En de persoon van wie ik dit soort berichten krijg even een waarschuwingsmailtje sturen.

Hebben dit soort berichten ook te maken met dit lek? Dat het account van die personen gekaapt is, en dat het dan automatisch dit soort rommel doorstuurt?

[Reactie gewijzigd door scorpionv op 22 juli 2024 17:47]

OPSLAGHOND 24 mei 2011 13:06

Microsoft is dus ook aardig bezig.
Onlangs werd bekend dat een 14-jarige uit Dublin een poging heeft gedaan om Microsoft's xboxsysteem te hacken en een wereldwijd hackeralarm heeft af laten gaan;

Een schooljongen uit Dublin heeft voor wereldwijd alarm gezorgd doordat hij Microsoft’s Xbox-systeem heeft geprobeerd te hacken.
Een 14 jarige jongen is verantwoordelijke gehouden voor het veroorzaken van een alarm bij miljoenen gebruikers nadat hij de game Modern Warfare 2 heeft weten te kraken op de Xbox360. Hoge bazen van Microsoft waren bang dat er veel informatie in gevaar was gebracht of zelfs gestolen was.
Het alarm werd ingeschakeld tijdens het herstel van de aanval op Sony’s online diensten waarbij tevens miljoenen persoonsinformatie zou zijn gelekt.

Bron: http://inthegame.nl/nieuw...-wereldwijd-hacker-alarm/
Als je de laatste zin leest mogen ze bij Microsoft blij zijn dat ze het eerst bij Sony hebben geprobeerd, anders was dit waarschijnlijk ook gewoon gelukt.

Jouster-Patrick 24 mei 2011 14:44

Kwa spam heb ik bij hotmail geen last je moet gewoon niet overal je email adres invullen

Maar idd dat je van bekenden spam krijgt is idd erg vervelend je wilt ze ook niet blokken ivm dat als er wel een mailtje word gestuurd wat geen spam is.... of het een virus is of dat je hotmail gekraakt is en er zonder dat je het weet gebruik van gemaakt word ik zou het 123 niet weten..

Verwijderd 24 mei 2011 10:40

Dit was ook een hele tijd mogelijk met de firefox addon firesheep; of hebben ze het hier over?

Goderic @Verwijderd • 24 mei 2011 10:57

Dat had je geweten als je het artikel gelezen had.
Hier gaat het over een hack die mogelijk is doordat er kwaadwillige javascriptcode uit een mail uitgevoerd kan worden. Het enige wat je dus moet doen is een mailtje sturen.
Bij firesheep moet de te hacken pc op een onbeveiligde wifi-verbinding zonder https verbinding maken met de hotmail server voor je het kan gebruiken.

IceBlackz 24 mei 2011 10:37

Wonderlijk.. hoe je d.m.v. een speciaal karakter een emailadres kan hacken.. Niks voor mij, dat hacken

Offtopic:
Sony zal wel blij wezen nu de aandacht van hun af is ^^

[Reactie gewijzigd door IceBlackz op 22 juli 2024 17:47]

Prototype666 24 mei 2011 11:00

dus daarom was ik een paar keer gewoon emailtjes kwijt... ze waren gestolen

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (57)

Sorteer op:

Weergave: