微软Office 365云端服务在尝试验证使用者的机制上出现安全漏洞,使得在Web服务器上托管Word文件的任何人,皆能将微软Office 365凭证偷走。
SaaS安全服务供货商Adallom首席软件架构师Noam Liran发现了该漏洞,并在其部落格上概述其运作方式。
Office 365要求使用者登录自己的账号,每当从SharePoint服务器上下载文件时,便会透过单一认证令牌(authentication token)的发送,来对当下登入使用者的凭证进行验证。
虽然认证令牌只会在服务器处于Sharepoint.com网域上时才会发送。然而,Liran却发现,透过运行自己的服务器,并回送合法SharePoint服务器所预期的响应时,使用者便可随意地发送认证令牌。
「若现在,我的恶意Web服务器,拥有你的个人Office 365认证令牌,那么便能够轻易地进入贵公司的SharePoint Online网站,并可下载、修改所有凭证,甚至为所欲为,而你将毫无所觉。事实上,你甚至连遭到攻击都不知道,这会是个完美的犯罪,」他贴文指出。
Adallom公司已制作一支演示认证令牌是如何被窃取的影片。
对此,微软对于该漏洞做出回应,并发布一个安全公告。
该公告指出:「成功利用此安全弱点发动攻击的攻击者,的确能够存取到认证令牌,该令牌可被用来验证位于目标SharePoint或其他微软Office服务器网站上当下的使用者。」
针对该弱点的修补程序,已经在本月初发布,并做为微软例行性「修补星期二」安全更新公告的一部分。
- 湖北首家华为产教融合全国样板点落地武汉华夏理工学院
0评论2026-05-14
- 技驭洁净,斩获殊荣|MOVA 吸尘器登峰江南论坛,硬实力诠释
0评论2026-05-12
- 永青集团携手金蝶达成战略合作,共建产业链协同数字化标杆
0评论2026-05-12
- 魔法原子全球具身智能创新大会硅谷落幕 引领具身智能下个十年
0评论2026-04-29
- 华境S亮相华为乾崑技术大会,将搭载ADS 5!
0评论2026-04-24
- 北新建材与金蝶中国签署战略合作协议,共筑建材行业数字化新标杆
0评论2026-04-23
- 破局!哈电国际携手用友打造智能审核新体系
0评论2026-04-21
- 用友HR SaaS联手物业领军企业明喆集团,焕发人力资源数智新动能
0评论2026-04-21
- 金蝶软件3920万中标国药控股-财务共享与总账系统建设项目,用友网络、远光软件惜败
0评论2026-04-08
- 凤凰自行车×用友YonSuite:129年老字号的数智化转型之路
0评论2026-04-02