據(jù)techcrunch報道，微軟已經(jīng)修復(fù)了其登錄系統(tǒng)中的一個漏洞，安全研究人員稱該漏洞允許攻擊者悄悄地竊取帳戶令牌(token)。

很多網(wǎng)站和應(yīng)用程序通過使用令牌讓用戶訪問自己的帳戶，而無需不斷地重新輸入密碼。具體來說，用戶登錄后，這些令牌由應(yīng)用程序或網(wǎng)站創(chuàng)建，而不是用戶名和密碼。這使用戶能夠持續(xù)登錄網(wǎng)站，同時也允許用戶訪問第三方應(yīng)用程序和網(wǎng)站，而不必直接提交他們的密碼。

以色列網(wǎng)絡(luò)安全公司CyberArk的研究人員發(fā)現(xiàn)，微軟出現(xiàn)了一個意外漏洞，這個漏洞可能會被攻擊者用來盜取這些用于訪問受害者賬戶的賬戶令牌，并且可能永遠不會提醒用戶。

CyberArk稱其發(fā)現(xiàn)幾十個未注冊的子域連接到了微軟開發(fā)的一些應(yīng)用程序，這些內(nèi)部應(yīng)用程序可信度極高，因此相關(guān)的子域可以用來自動生成訪問令牌，而不需要經(jīng)過用戶任何明確同意。通過這些子域，攻擊者只需欺騙毫無戒心的受害者點擊電子郵件或網(wǎng)站特定的鏈接，就可以盜取令牌。

據(jù)悉，該安全漏洞已于 10 月下旬報告給微軟。微軟發(fā)言人表示：“我們在 11 月解決了該報告中提到的應(yīng)用程序問題，用戶仍然受到保護。”