據(jù)悉，微軟的登錄系統(tǒng)出現(xiàn)了一連串的鏈接漏洞錯(cuò)誤，黑客只需要欺騙用戶點(diǎn)擊鏈接，就可以輕松訪問(wèn)用戶的微軟帳戶。

來(lái)自印度的漏洞獵手Sahad Nk發(fā)現(xiàn)微軟的子域“success．office．com”沒(méi)有被正確配置。他使用CNAME記錄——一個(gè)用于將一個(gè)域鏈接到另一個(gè)域的規(guī)范記錄——將未配置的子域指向他自己的Azure實(shí)例。通過(guò)這一過(guò)程，他可以控制子域名，以及發(fā)送給它的任何數(shù)據(jù)。

這本身并不是什么大問(wèn)題，但Nk還發(fā)現(xiàn)，當(dāng)用戶通過(guò)微軟的Live登錄系統(tǒng)登錄后，可以欺騙Microsoft Office、Store和Sway應(yīng)用，將其經(jīng)過(guò)身份驗(yàn)證的登錄令牌發(fā)送到他新控制的域名中。

這是因?yàn)橐资芄�擊的�?yīng)用使用了通配符正則表達(dá)式，可以允許所有office．com——包括他新控制的子域名——被信任。

例如，一旦受害者點(diǎn)擊電子郵件中發(fā)送的特制鏈接，用戶將使用他們的用戶名和密碼通過(guò)微軟的登錄系統(tǒng)登錄，如果用戶設(shè)置了雙重認(rèn)證，則會(huì)創(chuàng)建一個(gè)帳戶訪問(wèn)令牌，讓用戶無(wú)需一次又一次地輸入密碼即可登錄。獲取帳戶訪問(wèn)令牌相當(dāng)于擁有用戶的憑據(jù)，并允許攻擊者無(wú)縫地侵入該用戶的帳戶，通常也不會(huì)發(fā)出任何警報(bào)或觸發(fā)任何警告。（它們與今年早些時(shí)候讓超過(guò)3000萬(wàn)Facebook帳戶面臨風(fēng)險(xiǎn)的帳戶令牌屬于同一類。）

但惡意URL則會(huì)指示微軟的登錄系統(tǒng)將帳戶令牌傳遞給Nk的受控子域，如果該子域受到惡意攻擊者的控制，可能會(huì)使無(wú)數(shù)帳戶面臨風(fēng)險(xiǎn)。最糟糕的是，惡意URL看起來(lái)是合法的，因?yàn)橛脩羧匀煌ㄟ^(guò)微軟的系統(tǒng)登錄，并且URL中的“wreply”參數(shù)看起來(lái)也并不可疑。

換句話說(shuō)，任何人的Office帳戶，甚至企業(yè)和公司帳戶，包括他們的電子郵件、文檔和其他文件，都可以被惡意攻擊者輕松訪問(wèn)，而且?guī)缀醪豢赡軓暮戏ㄓ脩糁斜鎰e出來(lái)。

在Paulos Yibelo的幫助下，Nk向微軟報(bào)告了這個(gè)漏洞，微軟迅速修復(fù)了這一問(wèn)題。

“微軟安全響應(yīng)中心在2018年11月完結(jié)了此案�！蔽④洶l(fā)言人在一封電子郵件中證實(shí)了這一消息。他解釋說(shuō)，微軟通過(guò)刪除指向NK的Azure實(shí)例的CNAME記錄，修復(fù)了該錯(cuò)誤。

微軟也向Nk支付了巨額獎(jiǎng)金。