微軟網站登入系統有漏洞,用戶點選惡意連結帳號就被綁架

安全研究人員發現微軟網站登入系統及驗證漏洞,讓駭客只要發送一則惡意連結,就能輕鬆綁架用戶的微軟服務帳號。不過微軟在接獲通報後已經於兩周前將之修補。

這個重大安全風險是由安全工程師Sahad Nk發現,它是由兩個漏洞造成。首先,微軟的子網域success.office.com,在原有app下線後網域還存在,只要以別名記錄(CNAME record)successcenter-msprod註冊一個Azure網頁app,就能接管這個子網域,使得任何傳進success.office.com的資料,都會落入持有人手中。

第二個漏洞則是微軟服務的OAuth驗證不當所致。研究人員發現,由於同屬office.com網域,因此用戶第一次成功從集中化登入系統login.live.com登入後,Microsoft Outlook、Store和Sway等服務即允許https://success.office.com網站接收登入token。即使驗證發起端是outlook.comsway.com,但login.live.com還是會視https://success.office.com為有效的轉寄地點,而將使用者token轉寄到此處。

這麼一來,駭客即成功繞過OAuth驗證而取得有效token。只要以此交換session token,即使不知道用戶帳密也能登入帳號。

為測試這兩個漏洞,研究人員以https://success.office.com改造成加上wreply參數的URL,並針對Outlook和Sway實驗。只要用戶被電子郵件或其他通訊軟體誘騙點選該URL,他的帳號就會被綁架。雖然研究人員僅實驗了微軟兩項服務,但表示所有微軟帳號,包括Microsoft Store都會受影響,因而可能危及4億用戶。

研究人員於6月通報微軟這兩個漏洞,微軟已經在11月底修補完成。

原文來自 iThome Online