在安全研究员杰克·惠顿帮助下,微软已经修复了在其主认证系统当中存在的CSRF(跨站请求伪造)漏洞。微软Azure,Outlook和Office均使用这种认证系统。该漏洞允许攻击者窃取受害者的身份验证令牌,然后使用它来登录到受害者帐户。 杰克·惠顿在博客当中描述了漏洞工作原理,他表示这个问题出在微软自己研发的认证系统,其功能类似OAuth协议。当用户通过Azure,Outlook或Office经典的登录页面登录,攻击者使用URL重定向,添加了一个参数,让微软的登录服务验证用户,然后重定向回到攻击者定义的网址,以盗窃用户的身份标志认证令牌,然后使用这个令牌出重新登录到微软认证系统,进而访问用户帐户。 杰克·惠顿在今年1月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励,因为Wesley Wineberg发现了微软OAuth登录系统的一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是Facebook错误赏金计划收入最高的安全研究人员之一。
