Microsoft a corrigé une faille au sein de son service de courriers Hotmail laquelle pouvait être exploitée afin de récupérer les échanges électroniques d'une victime et son carnet d'adresses.
La société Trend Micro, qui a informé Microsoft du bug le 13 mai dernier, explique via son blog officiel que l'attaque était opérée par l'envoi d'un courrier malveillant. Une fois ouvert par la victime, celui-ci exécutait automatiquement un script baptisé HTML_AGENT.SMJ. Ce script a été spécialement conçu afin d'ouvrir une connexion vers un serveur distant pour télécharger un second script. Ce dernier, JS_AGENT.SMJ procédait alors à l'envoi d'une requête vers les serveurs de Microsoft lesquels automatisaient le transfert des messages de la boite de réception vers une autre adresse email.
Trend Micro précise que le transfert des messages n'était actif que lorsque l'internaute restait connecté à son compte Hotmail. Le hacker a su tirer parti d'un bug au sein du service Hotmail lequel vient tout juste d'être corrigé.
Aucune information n'a été révélée sur l'ampleur de cette attaque.