IT之家6月22日消息,微软近日承认其Azure云服务存在开放授权(OAuth)漏洞,黑客可以利用该漏洞使用他人的Azure账户登录第三方网站百思特网。
▲ 攻击过程演示,图片来源
安全软件公司的研究人员将该漏洞命名为“”,存在于Azure云服务中。 黑客只需以管理员身份创建一百思特网个Azure账户,并将该账户的邮箱地址更改为他人的邮箱地址,并通过“Use Login”,即可使用他人的Azure账户登录第三方网站。
▲ 攻击过程演示,图片来源
▲ 攻击过程演示,图片来源
▲ 攻击过程演示,图片来源
首席安全官 Imer Cohen 表示,微软在“身份验证”方面的设计缺陷导致了“Azure”漏洞,这可能会影响相当一部分 Azure 用户。
IT之家注意到,微软已经承认该漏洞并发出警告,提醒用户不要泄露自己的邮箱信息,并告知第三方开百思特网发者不要将Token内置到客户端中。