Британский исследователь Джек Уиттон получил денежное вознаграждение от Microsoft в размере 13000 долларов за то, что ему удалось выявить уязвимость в общей системе аутентификации, которая давала возможность заполучить доступ к аккаунтам в Azure, Office и Outlook.
Сейчас пользователь может авторизоваться в онлайн-сервисах Microsoft, используя веб-страницы login.live.com, login.microsoftonline.com и login.windows.net. Когда пользователь вводит в адресную строку браузера outlook.office.com, происходит переадресация. Пользователь попадает на страницу login.microsoftonline.com с параметром wreply для уточнения, доступ к какому из доменов необходимо получить.
После того, как пользователь прошел авторизацию, на домен, указанный в параметре wreply, пересылается POST-запрос со значением, содержащим токен. Так как сервисы находятся на абсолютно разных доменах, использование файлов cookie в данном случае невозможно, поэтому токен является единственным значением, необходимым для аутентификации пользователя. В данной ситуации хакер может провести CSRF-атаку. С помощью вредоносного URL можно осуществить перехват токена пользователя, который уже прошел аутентификацию, и заполучить доступ к аккаунту.
Токен является действительным только для того сервиса, который его выпустил. Однако хакеры могут легко создать большое количество скрытых плавающих фреймов с URL-адресами, которые настроены для других сервисов, и осуществить сбор нужного количества токенов.
Уиттон передал в Microsoft информацию об уязвимости 24 января. Специалистам компании потребовалось двое суток на ее исправление.