微软于48小时内修复严重在线账户劫持漏洞

微软宣布，其仅花 48 小时即修复了一个让攻击者可获取用户登录令牌的身份验证缺陷。据英国安全专家 Jack Whitton 称：该漏洞旨在通过钓鱼网站「收割」用户的登录令牌，以实现对用户账户和数据的访问。

在本周一的一篇博客文章中，研究者说明了可操纵 POST 值模拟真实用户对微软产品实施访问。

微软运营了大量在线服务，用户在访问这些服务（诸如 Outlook.com 邮箱和 Azure  服务）时，都需要在登录过程的 POST 请求中发送完整的登录令牌「wreply」值，令牌将在登录过程中被使用和消耗。而 Cookies 并未独立于微软各项服务的域名，因此只需一个令牌，攻击者便可伪装成正常用户进行跨站攻击。

研究人员发现，通过调整 URL 编码参数和解析 URL，便可以绕过为防止身份验证错误而设立的不同过滤器。Whitton 于 3 月 24 日提交了该安全漏洞，微软在当日便进行了确认，并于 26 日即对该漏洞所影响的所有云服务进行了修复。