Microsoft登录系统中的错误使用户面临帐户被劫持的风险

 
微软已经修复了其登录系统中的一个漏洞，安全研究人员说，该漏洞可能被用来欺骗毫无戒心的受害者，让他们完全访问其在线帐户。
该错误使攻击者可以悄悄地窃取帐户令牌，网站和应用程序使用该令牌授予用户访问其帐户的权限，而无需他们不断重新输入密码。这些令牌是在用户登录后由应用程序或网站创建的，以代替用户名和密码。这样可以使用户永久登录到该站点，但也允许用户访问第三方应用程序和网站而无需直接进行操作他们的密码。
以色列网络安全公司Cyber​​Ark的研究人员发现，Microsoft留下了一个意外漏洞，如果被利用，它可能会被用来窃取用于访问受害者帐户的这些帐户令牌-可能从未警告用户。
Cyber​​Ark与TechCrunch独家共享的最新研究发现，数十个未注册的子域与Microsoft生成的少数应用相关联。这些内部应用程序是高度受信任的，因此，关联的子域可用于自动生成访问令牌，而无需用户的任何明确同意。
有了子域，攻击者所需要做的就是欺骗一个毫无戒心的受害者，单击电子邮件或网站上的特制链接，然后令牌就会被盗。
研究人员说，在某些情况下，这可以通过“零点击”方式完成，顾名思义，这种方式几乎不需要用户交互。隐藏网页的恶意网站可能会悄悄地触发与恶意电子邮件中的链接相同的请求，以窃取用户的帐户令牌。
幸运的是，研究人员注册了他们可以从易受攻击的Microsoft应用程序中找到的尽可能多的子域，以防止任何恶意的滥用，但警告可能还会更多。
该安全漏洞已于10月下旬报告给Microsoft，并在三周后修复。
微软发言人说：“我们在11月使用本报告中提到的应用程序解决了该问题，客户仍然受到保护。”
这不是微软第一次采取行动修复其登录系统中的错误。差不多在一年前，这家软件和服务巨头修复了一个类似的漏洞，在该漏洞中，研究人员被允许更改配置不当的Microsoft子域的记录并窃取Office帐户令牌。
阅读更多：
Microsoft登录系统中的一个错误使劫持任何人的Office帐户变得容易
StockX被黑，暴露了数百万客户的数据
DoorDash确认数据泄露影响了490万客户，工人和商人
众议院报告称，如果使用基本安全措施，Equifax违规行为“完全可以预防”
不要说“我们认真对待您的隐私和安全性”
研究人员称，Capital One漏洞也袭击了其他主要公司
梅西百货称黑客再次偷走了客户的信用卡