微软Office 365云端服务在尝试验证使用者的机制上出现安全漏洞，使得在Web服务器上托管Word文件的任何人，皆能将微软Office 365凭证偷走。



       SaaS安全服务供货商Adallom首席软件架构师Noam Liran发现了该漏洞，并在其部落格上概述其运作方式。



      Office 365要求使用者登录自己的账号，每当从SharePoint服务器上下载文件时，便会透过单一认证令牌(authentication token)的发送，来对当下登入使用者的凭证进行验证。



       虽然认证令牌只会在服务器处于Sharepoint.com网域上时才会发送。然而，Liran却发现，透过运行自己的服务器，并回送合法SharePoint服务器所预期的响应时，使用者便可随意地发送认证令牌。



     「若现在，我的恶意Web服务器，拥有你的个人Office 365认证令牌，那么便能够轻易地进入贵公司的SharePoint Online网站，并可下载、修改所有凭证，甚至为所欲为，而你将毫无所觉。事实上，你甚至连遭到攻击都不知道，这会是个完美的犯罪，」他贴文指出。



        Adallom公司已制作一支演示认证令牌是如何被窃取的影片。



       对此，微软对于该漏洞做出回应，并发布一个安全公告。



       该公告指出：「成功利用此安全弱点发动攻击的攻击者，的确能够存取到认证令牌，该令牌可被用来验证位于目标SharePoint或其他微软Office服务器网站上当下的使用者。」



      针对该弱点的修补程序，已经在本月初发布，并做为微软例行性「修补星期二」安全更新公告的一部分。

 

---

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。