Wineberg解釋說,從一開始他就決定仔細(xì)看看 Outlook的驗(yàn)證系統(tǒng)Oauth,Oauth允許用戶配置他們的應(yīng)用程序以獲取在收件箱中的郵件。Wineberg成功地創(chuàng)造了虛假的應(yīng)用程序,繞過 了OAuth的保護(hù),從而能夠自由地訪問任何帳戶當(dāng)中內(nèi)容,下一步就是這個(gè)假的應(yīng)用程序注入到一個(gè)網(wǎng)站,然后誘使受害者使用自己的Outlook帳戶訪問 該網(wǎng)頁,以注入惡意代碼。
更糟糕的是,微軟這個(gè)漏洞可以讓黑客和攻擊者可以永久訪問受害者帳戶,而這還不是全部的損害。據(jù)Wineberg 表示,利用該漏洞的蠕蟲病毒將不僅能夠進(jìn)入被攻擊者的帳戶,而且可以盜取所有聯(lián)系人,并通過電子郵件發(fā)送附帶病毒或惡意鏈接的電子郵件,用來傳播更多的惡 意軟件。
該漏洞在8月23日被首次發(fā)現(xiàn),兩天后,Wineberg已經(jīng)報(bào)告給微軟。 9月15日,微軟不僅修補(bǔ)了安全漏洞,而且向 Wineberg支付了24000美元作為獎(jiǎng)勵(lì)。