微软Office 365云端服务在尝试验证使用者的机制上出现安全漏洞,使得在Web服务器上托管Word文件的任何人,皆能将微软Office 365凭证偷走。
SaaS安全服务供货商Adallom首席软件架构师Noam Liran发现了该漏洞,并在其部落格上概述其运作方式。
Office 365要求使用者登录自己的账号,每当从SharePoint服务器上下载文件时,便会透过单一认证令牌(authentication token)的发送,来对当下登入使用者的凭证进行验证。
虽然认证令牌只会在服务器处于Sharepoint.com网域上时才会发送。然而,Liran却发现,透过运行自己的服务器,并回送合法SharePoint服务器所预期的响应时,使用者便可随意地发送认证令牌。
「若现在,我的恶意Web服务器,拥有你的个人Office 365认证令牌,那么便能够轻易地进入贵公司的SharePoint Online网站,并可下载、修改所有凭证,甚至为所欲为,而你将毫无所觉。事实上,你甚至连遭到攻击都不知道,这会是个完美的犯罪,」他贴文指出。
Adallom公司已制作一支演示认证令牌是如何被窃取的影片。
对此,微软对于该漏洞做出回应,并发布一个安全公告。
该公告指出:「成功利用此安全弱点发动攻击的攻击者,的确能够存取到认证令牌,该令牌可被用来验证位于目标SharePoint或其他微软Office服务器网站上当下的使用者。」
针对该弱点的修补程序,已经在本月初发布,并做为微软例行性「修补星期二」安全更新公告的一部分。
- 中国制造业500强利欧集团3步落地北森AI面试官,助力人才选拔提质增效!
0评论2026-01-05
- 强强联合|新大陆集团携手用友,开启数智化升级建设新篇章
0评论2026-01-05
- 实锤了,Meta 正式收购 Manus
0评论2025-12-30
- 重塑数智基座 杭州市上城区档案馆的自主创新新范式
0评论2025-12-26
- 广域铭岛五周年价值长卷|G+,为工业未来做加法
0评论2025-12-24
- 钉钉果然不是给人用的
0评论2025-12-24
- 创业公司怎么选IM软件?灵犀深智为什么从企微切换到飞书
0评论2025-12-23
- 中企出海的“数字化船票”,U9 cloud让全球化经营少走99%的弯路!
0评论2025-12-22
- 联适导航赵杰:所有数字化转型,归根结底都是“人的转型”
0评论2025-12-22
- 《财富》专访通威和金蝶:当光伏遇上AI
0评论2025-12-22