系统极客一直在努力
专注于操作系统及软件使用教程

微软于48小时内修复严重在线账户劫持漏洞

安全

微软宣布,其仅花 48 小时即修复了一个让攻击者可获取用户登录令牌的身份验证缺陷。据英国安全专家 Jack Whitton 称:该漏洞旨在通过钓鱼网站「收割」用户的登录令牌,以实现对用户账户和数据的访问。

在本周一的一篇博客文章中,研究者说明了可操纵 POST 值模拟真实用户对微软产品实施访问。

微软运营了大量在线服务,用户在访问这些服务(诸如 Outlook.com 邮箱和 Azure  服务)时,都需要在登录过程的 POST 请求中发送完整的登录令牌「wreply」值,令牌将在登录过程中被使用和消耗。而 Cookies 并未独立于微软各项服务的域名,因此只需一个令牌,攻击者便可伪装成正常用户进行跨站攻击。

研究人员发现,通过调整 URL 编码参数和解析 URL,便可以绕过为防止身份验证错误而设立的不同过滤器。Whitton 于 3 月 24 日提交了该安全漏洞,微软在当日便进行了确认,并于 26 日即对该漏洞所影响的所有云服务进行了修复。

分享到:更多 ()