El servicio de Passport MSN cuenta con un grave fallo, dicho bug atonta algunos servidores que utilizan y permite remplazar las contraseñas de algunos usuarios que esten registrados en Passport MSN. ¿Una contraseña nueva cada 5 minutos? La contraseña es remplazada por un usuario remoto cualquiera atacando sobre la victima y asignandole un nuevo password, cabe señalar que el password anterior no es obtenido unicamente se remplaza en menos de 5 minutos.

Estuve documentandome para ver si habia un fallo en años anteriores de esta indole y al parecer dos personas en la lista de insecure de Fydor, publicaron algo parecido aunque sin ejemplos tecnicos.

Cabe señalar que no se necesita realizar un exploit o algun codigo alterno, tambien no es necesario mandar mails a passport. ¿Alguien esta interesado o sabe algo al respecto antes de publicar algo tecnico relacionado con esto?

[UPDATE: Articulo publicado en Kriptopolis el 13 de Mayo del 2005]