Microsoft dicht lek dat Outlook-hack mogelijk maakte

Microsoft dicht lek dat Outlook-hack mogelijk maakte
Hackers konden met behulp van een beveiligingslek inloggen op Outlook-accounts. Het slachtoffer hoefde hiervoor alleen een website met een geïnfecteerde advertentie te bezoeken.

Dat schrijft beveiligingsonderzoeker Wesley Wineberg op de website van Synack. Het lek is inmiddels gedicht.

De beveiligingsonderzoekers konden vanaf de inlogpagina van Live.com Outlook-accounts kapen. Hierbij werd misbruik gemaakt van het autorisatiesysteem achter de maildienst, waardoor een hacker namens het slachtoffer kon inloggen.

De computer van een slachtoffer moest worden geïnfecteerd voordat deze kwetsbaarheid misbruikt kon worden. Dat kon door een kwaadwillende website te bezoeken, maar een advertentie met de malware werkte ook.

Wineberg ontdekte het lek, waarna hij Microsoft inlichtte. De beveiligingsonderzoeker heeft pas zijn bevindingen gepubliceerd nadat Microsoft het probleem had opgelost. Hij kreeg hiervoor een beloning van 24.000 dollar (21.000 euro).

Het is onduidelijk of internetcriminelen ook van het lek afwisten en hier misbruik van maakten.