微软登录系统存在漏洞:用户Office帐号受影响
分享
据外媒TechCrunch报道, 印度的“漏洞猎手”Sahad Nk是第一个发现微软的子域名“success.office.com”未正确配置的人,他利用这一漏洞欺骗用户点击这个链接,来获得微软用户帐号的访问权限。
他利用CNAME记录,即一个用于将一个域名链接到另一个域名的规范记录,来将未配置的子域名指向他自己的Azure实例。Nk表示,通过这种方式,他可以接管该子域名,并劫持任何发送到该子域名的数据。
这本身不是什么大问题,但Nk还发现,因为Office、Store和Sway这些应用均使用一个通配符正则表达式,所以当用户通过微软的Live登录系统登录时,这些应用也会错把用户的身份验证登录指令发送他新近接管的域名中。
恶意攻击者可以这个方式轻而易举地访问任何人的Office帐号,甚至企业和集团帐号,包括他们的邮件、文档和其他文件等,而且合法用户几乎无法辨识。
目前,Nk在Paulos Yibelo的帮助下已向微软报告了该漏洞。微软也已经将漏洞修复,并为Nk的工作支付了漏洞赏金。
本文编辑:陆添智
0人已赞