微软登录系统bug或致用户账号被劫持 目前已修复

据techcrunch报道，微软已经修复了其登录系统中的一个漏洞，安全研究人员称该漏洞允许攻击者悄悄地窃取帐户令牌(token)。

很多网站和应用程序通过使用令牌让用户访问自己的帐户，而无需不断地重新输入密码。具体来说，用户登录后，这些令牌由应用程序或网站创建，而不是用户名和密码。这使用户能够持续登录网站，同时也允许用户访问第三方应用程序和网站，而不必直接提交他们的密码。

以色列网络安全公司CyberArk的研究人员发现，微软出现了一个意外漏洞，这个漏洞可能会被攻击者用来盗取这些用于访问受害者账户的账户令牌，并且可能永远不会提醒用户。

CyberArk称其发现几十个未注册的子域连接到了微软开发的一些应用程序，这些内部应用程序可信度极高，因此相关的子域可以用来自动生成访问令牌，而不需要经过用户任何明确同意。通过这些子域，攻击者只需欺骗毫无戒心的受害者点击电子邮件或网站特定的链接，就可以盗取令牌。

据悉，该安全漏洞已于 10 月下旬报告给微软。微软发言人表示：“我们在 11 月解决了该报告中提到的应用程序问题，用户仍然受到保护。”