Microsoft Azure AD 漏洞可能导致完全账户接管
微软Azure Active Directory的安全漏洞
关键要点
微软Azure Active Directory中存在被称为“nOAuth”的漏洞,可能导致账号被完全接管。此漏洞源于配置错误,可以修改Azure AD中“联系信息”的邮箱属性。攻击者可以滥用“用Microsoft登录”的功能进行账号劫持,甚至在受害者没有微软账号的情况下也能完全控制其账号。微软已将此漏洞视为“不安全的反模式”,并已通知多租户应用程序。根据《黑客新闻》的报告,威胁行为者可能会利用微软Azure Active Directory中的一个漏洞,此漏洞被称为“nOAuth”,来实现完整的账号接管。此认证实施错误由Descope识别并报告,源于配置上的失误,允许在Azure AD的“联系信息”中修改邮箱属性,同时还可滥用“用Microsoft登录”功能进行账号劫持。Descope的首席安全官Omer Cohen表示:“如果应用在没有验证的情况下合并用户账户,那么攻击者将完全控制受害者的账户,即使受害者没有Microsoft账号”。
与此同时,微软也将该漏洞视为一种“不安全的反模式”。微软指出:“攻击者可以在发给应用的令牌中伪造邮箱声明。此外,如果应用使用这些声明进行邮箱查找,数据泄漏的风险也会增加。”微软已经通知了那些存在未验证域拥有者的用户邮箱地址的多租户应用。
香港节点加速器相关链接: 微软Azure安全公告 Descope安全报告
WhatsApp备份遭受Android GravityRAT恶意软件攻击
2025-10-22 18:37:32
Android GravityRAT恶意软件现状:WhatsApp备份被盗关键要点更新版的Android GravityRAT恶意软件正在窃取WhatsApp备份文件。此恶意软件通过伪装成名为“BingeChat”的聊天应用程序进行传播。恶意软件寻求获取多个权限,窃取用户信息并发送至其指挥控制服务器...
Grafana 修复了与 Azure AD 相关的关键漏洞
Grafana 发布安全补丁修复关键漏洞关键要点Grafana 发现并修复了一个严重的安全漏洞CVE20233128,可能导致账户被劫持。漏洞源于 Azure Active Directory 的电子邮件声明验证。受影响的用户可能面临账户完全控制和数据泄露的风险。建议用户升级至 Grafana 的最...