安全研究人员发现微软网站登入系统及验证漏洞,让黑客只要发送一则恶意连结,就能轻松绑架用户的微软服务账号。不过微软在接获通报后已经于两周前将之修补。
第二个漏洞则是微软服务的OAuth验证不当所致。研究人员发现,由于同属office.com网域,因此用户第一次成功从集中化登入系统login.live.com登入后,Microsoft Outlook、Store和Sway等服务即允许https://success.office.co m网站接收登入token。即使验证发起端是outlook. com、sway. com,但login.live.com还是会视https://success.office.com为有效的转寄地点,而将使用者token转寄到此处。
这么一来,黑客即成功绕过OAuth验证而取得有效token。只要以此交换session token,即使不知道用户帐密也能登入账号。
为测试这两个漏洞,研究人员以https://success.office.co m改造成加上wreply参数的URL,并针对Outlook和Sway实验。只要用户被电子邮件或其他通讯软件诱骗点选该URL,他的账号就会被绑架。虽然研究人员仅实验了微软两项服务,但表示所有微软账号,包括Microsoft Store都会受影响,因而可能危及4亿用户。
研究人员于6月通报微软这两个漏洞,微软已经在11月底修补完成。 文章转自:胜博发有你
