微軟承認 Azure 云服務存在漏洞，黑客可用他人賬號登錄三方網站

微軟日前承認旗下 Azure 云服務中存在開放授權（OAuth） 漏洞，黑客可以利用該漏洞，使用他人的 Azure 賬號登錄第三方網站。

▲ 攻擊過程演示，圖源 Descope

安全軟件公司 Descope 研究人員將該漏洞命名為“nOAuth”，存在于 Azure 云服務的 Active Directory 中，黑客只需要創建一個具有管理員的 Azure 賬號，并把該賬號的電子郵件地址修改為他人的電子郵件地址，并利用“使用 Microsoft 登錄”，即可使用他人的 Azure 賬號登錄第三方網站。

▲ 攻擊過程演示，圖源 Descope

▲ 攻擊過程演示，圖源 Descope

▲ 攻擊過程演示，圖源 Descope

Descope 首席安全官 Imer Cohen 表示，微軟在設計“身份驗證”時存在缺陷，從而導致了 Azure 的 “nOAuth”漏洞，該漏洞可能會影響相當一部分 Azure 用戶。