摘要：在安全研究員杰克·惠頓幫助下，微軟已經修復了在其主認證系統當中存在的CSRF（跨站請求偽造）漏洞。微軟Azure，Outlook和Office均使用這種認證系統。該漏洞允許攻擊者竊取受害者的身份驗證令牌，然后使用它來登錄到受害者帳戶。

杰克·惠頓在博客當中描述了漏洞工作原理，他表示這個問題出在微軟自己研發的認證系統，其功能類似OAuth協議。當用戶通過Azure，Outlook或Office經典的登錄頁面登錄，攻擊者使用URL重定向，添加了一個參數，讓微軟的登錄服務驗證用戶，然后重定向回到攻擊者定義的網址，以盜竊用戶的身份標志認證令牌，然后使用這個令牌出重新登錄到微軟認證系統，進而訪問用戶帳戶。

杰克·惠頓在今年1月向微軟報告了這一問題，微軟向其獎勵$ 13,000。微軟去年向Wesley Wineberg支付了類似金額的獎勵，因為Wesley Wineberg發現了微軟OAuth登錄系統的一個缺陷。這次獲獎的杰克·惠頓是一個著名的安全研究人員，是Facebook錯誤賞金計劃收入最高的安全研究人員之一。