微软承认旗下Azure云服务存在漏洞,黑客可使用他人账号登录第三方网站

时间:2023-06-22       来源: IT之家       阅读量:15784   

,微软日前承认旗下 Azure 云服务中存在开放授权 漏洞,黑客可以利用该漏洞,使用他人的 Azure 账号登录第三方网站。

攻击过程演示,图源 Descope

安全软件公司 Descope 研究人员将该漏洞命名为“nOAuth”,存在于 Azure 云服务的 Active Directory 中,黑客只需要创建一个具有管理员的 Azure 账号,并把该账号的电子邮件地址修改为他人的电子邮件地址,并利用“使用 Microsoft 登录”,即可使用他人的 Azure 账号登录第三方网站。

攻击过程演示,图源 Descope

攻击过程演示,图源 Descope

攻击过程演示,图源 Descope

Descope 首席安全官 Imer Cohen 表示,微软在设计“身份验证”时存在缺陷,从而导致了 Azure 的 “nOAuth”漏洞,该漏洞可能会影响相当一部分 Azure 用户。

IT之家注意到,微软目前已经承认了该漏洞,并发布警告,提醒用户不要泄露自己的电子邮件信息,并告知第三方开发者不应当将 Token 内置于客户端中。

声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。