微軟承認(rèn)旗下 Azure 云服務(wù)存在漏洞，黑客可使用他人賬號(hào)登錄第三方網(wǎng)站

2023-06-22 08:32:26|

來(lái)源：IT之家作者：

【資料圖】

IT之家 6 月 22 日消息，微軟日前承認(rèn)旗下 Azure 云服務(wù)中存在開放授權(quán)（OAuth）漏洞，黑客可以利用該漏洞，使用他人的 Azure 賬號(hào)登錄第三方網(wǎng)站。

▲ 攻擊過程演示，圖源 Descope

安全軟件公司 Descope 研究人員將該漏洞命名為“nOAuth”，存在于 Azure 云服務(wù)的 Active Directory 中，黑客只需要?jiǎng)?chuàng)建一個(gè)具有管理員的 Azure 賬號(hào)，并把該賬號(hào)的電子郵件地址修改為他人的電子郵件地址，并利用“使用 Microsoft 登錄”，即可使用他人的 Azure 賬號(hào)登錄第三方網(wǎng)站。

▲ 攻擊過程演示，圖源 Descope

Descope 首席安全官 Imer Cohen 表示，微軟在設(shè)計(jì)“身份驗(yàn)證”時(shí)存在缺陷，從而導(dǎo)致了 Azure 的 “nOAuth”漏洞，該漏洞可能會(huì)影響相當(dāng)一部分 Azure 用戶。

IT之家注意到，微軟目前已經(jīng)承認(rèn)了該漏洞，并發(fā)布警告，提醒用戶不要泄露自己的電子郵件信息，并告知第三方開發(fā)者不應(yīng)當(dāng)將 Token 內(nèi)置于客戶端中。

標(biāo)簽：