摘要:在安全研究員杰克·惠頓幫助下,微軟已經(jīng)修復(fù)了在其主認(rèn)證系統(tǒng)當(dāng)中存在的CSRF(跨站請(qǐng)求偽造)漏洞。微軟Azure,Outlook和Office均使用這種認(rèn)證系統(tǒng)。該漏洞允許攻擊者竊取受害者的身份驗(yàn)證令牌,然后使用它來(lái)登錄到受害者帳戶。
杰克·惠頓在博客當(dāng)中描述了漏洞工作原理,他表示這個(gè)問(wèn)題出在微軟自己研發(fā)的認(rèn)證系統(tǒng),其功能類似OAuth協(xié)議。當(dāng)用戶通過(guò)Azure,Outlook或Office經(jīng)典的登錄頁(yè)面登錄,攻擊者使用URL重定向,添加了一個(gè)參數(shù),讓微軟的登錄服務(wù)驗(yàn)證用戶,然后重定向回到攻擊者定義的網(wǎng)址,以盜竊用戶的身份標(biāo)志認(rèn)證令牌,然后使用這個(gè)令牌出重新登錄到微軟認(rèn)證系統(tǒng),進(jìn)而訪問(wèn)用戶帳戶。
杰克·惠頓在今年1月向微軟報(bào)告了這一問(wèn)題,微軟向其獎(jiǎng)勵(lì)$ 13,000。微軟去年向Wesley Wineberg支付了類似金額的獎(jiǎng)勵(lì),因?yàn)閃esley Wineberg發(fā)現(xiàn)了微軟OAuth登錄系統(tǒng)的一個(gè)缺陷。這次獲獎(jiǎng)的杰克·惠頓是一個(gè)著名的安全研究人員,是Facebook錯(cuò)誤賞金計(jì)劃收入最高的安全研究人員之一。