微軟網站登入系統有漏洞，用戶點選惡意連結帳號就被綁架

安全研究人員發現微軟網站登入系統及驗證漏洞，讓駭客只要發送一則惡意連結，就能輕鬆綁架用戶的微軟服務帳號。不過微軟在接獲通報後已經於兩周前將之修補。

這個重大安全風險是由安全工程師Sahad Nk發現，它是由兩個漏洞造成。首先，微軟的子網域success.office.com，在原有app下線後網域還存在，只要以別名記錄（CNAME record）successcenter-msprod註冊一個Azure網頁app，就能接管這個子網域，使得任何傳進success.office.com的資料，都會落入持有人手中。

第二個漏洞則是微軟服務的OAuth驗證不當所致。研究人員發現，由於同屬office.com網域，因此用戶第一次成功從集中化登入系統login.live.com登入後，Microsoft Outlook、Store和Sway等服務即允許https://success.office.com網站接收登入token。即使驗證發起端是outlook.com、sway.com，但login.live.com還是會視https://success.office.com為有效的轉寄地點，而將使用者token轉寄到此處。

這麼一來，駭客即成功繞過OAuth驗證而取得有效token。只要以此交換session token，即使不知道用戶帳密也能登入帳號。

為測試這兩個漏洞，研究人員以https://success.office.com改造成加上wreply參數的URL，並針對Outlook和Sway實驗。只要用戶被電子郵件或其他通訊軟體誘騙點選該URL，他的帳號就會被綁架。雖然研究人員僅實驗了微軟兩項服務，但表示所有微軟帳號，包括Microsoft Store都會受影響，因而可能危及4億用戶。

研究人員於6月通報微軟這兩個漏洞，微軟已經在11月底修補完成。