 在安全研究员杰克·惠顿帮助下,微软已经修复了在其主认证系统当中存在的 CSRF(跨站请求伪造)漏洞。微软 Azure,Outlook 和 Office 均使用这种认证系统。该漏洞允许攻击者窃取受害者的身份验证令牌,然后使用它来登录到受害者帐户。 杰克·惠顿在博客当中描述了漏洞工作原理,他表示这个问题出在微软自己研发的认证系统,其功能类似 OAuth 协议。当用户通过 Azure,Outlook 或 Office 经典的登录页面登录,攻击者使用 URL 重定向,添加了一个参数,让微软的登录服务验证用户,然后重定向回到攻击者定义的网址,以盗窃用户的身份标志认证令牌,然后使用这个令牌出重新登录到微软认证系统,进而访问用户帐户。 杰克·惠顿在今年 1 月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向 Wesley Wineberg 支付了类似金额的奖励,因为 Wesley Wineberg 发现了微软 OAuth 登录系统的一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是 Facebook 错误赏金计划收入最高的安全研究人员之一。
|
