微软网站登入系统有漏洞，用户点选恶意连结账号就被绑架

安全研究人员发现微软网站登入系统及验证漏洞，让骇客只要发送一则恶意连结，就能轻松绑架用户的微软服务账号。不过微软在接获通报后已经于两周前将之修补。

这个重大安全风险是由安全工程师Sahad Nk发现，它是由两个漏洞造成。首先，微软的子网域success.office.com，在原有app下线后网域还存在，只要以别名记录（CNAME record）successcenter-msprod注册一个Azure网页app，就能接管这个子网域，使得任何传进success.office.com的资料，都会落入持有人手中。

第二个漏洞则是微软服务的OAuth验证不当所致。研究人员发现，由于同属office.com网域，因此用户第一次成功从集中化登入系统login.live.com登入后，Microsoft Outlook、Store和Sway等服务即允许https://success.office.com网站接收登入token。即使验证发起端是outlook.com、sway.com，但login.live.com还是会视https://success.office.com为有效的转寄地点，而将使用者token转寄到此处。

这么一来，骇客即成功绕过OAuth验证而取得有效token。只要以此交换session token，即使不知道用户帐密也能登入账号。

为测试这两个漏洞，研究人员以https://success.office.com改造成加上wreply参数的URL，并针对Outlook和Sway实验。只要用户被电子邮件或其他通讯软件诱骗点选该URL，他的账号就会被绑架。虽然研究人员仅实验了微软两项服务，但表示所有微软账号，包括Microsoft Store都会受影响，因而可能危及4亿用户。

研究人员于6月通报微软这两个漏洞，微软已经在11月底修补完成。