微软因发现“账户黑客”技术向黑客支付2.4万美元赏金
相关标签: # 漏洞# 研究# 技术# 攻击# 缺陷
微软的直播。com是每个人在尝试对Outlook进行身份验证时都要经过的身份验证系统。com和大量其他微软服务,包括OneDrive、Windows Phone、Skype和Xbox LIVE。
黑客攻击Hotmail(Outlook.com)帐户
这是所有服务的一个帐户。因此,如果Outlook想要访问其他应用程序,它会使用一组标准的身份验证代码,名为奥特.
OAuth是一个开放的授权标准,它可以在第三方网站上保护您的密码安全,而不是共享您的密码,它共享一个名为“访问令牌”的特殊密钥来访问应用程序。
OAuth授权通过如下所示的提示完成,要允许应用程序访问您的帐户,您需要单击'对'.
然而,Synack安全研究员韦斯利·温伯格。发现了一个惊人的黑客攻击,使他能够绕过微软的OAuth保护机制,使用他的恶意“概念验证”应用程序,名为邪恶应用'。
根据安全研究员发布的技术细节,攻击者的恶意应用程序可以通过诱骗受害者访问不需要其他用户交互的网页,有效地访问受害者帐户中的所有内容。
利用示范
您可以观看下面的视频演示,其中显示了正在进行的攻击:
Wineberg说,这个漏洞更令人担忧的是,它可能被恶意黑客利用和滥用,从而创建一个令人讨厌的电子邮件蠕虫。
“将其作为目标攻击肯定会产生很高的影响,但这也是将其转化为蠕虫的完美漏洞类型。”我写道。“蠕虫可以很容易地通过电子邮件发送用户的所有联系人,其中包含一些诱人的信息…并传播给每一个点击链接的用户。”
然而,微软在9月中旬修补了该漏洞,并向Wineberg支付了高达2.4万美元的巨额费用,作为微软科技巨头漏洞奖励计划的一部分。
本周早些时候,Cybereason安全研究人员在微软的Outlook应用程序中发现了更多影响企业用户的问题。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
