據techcrunch報道，微軟已經修復了其登錄系統中的一個漏洞，安全研究人員稱該漏洞允許攻擊者悄悄地竊取帳戶令牌(token)。

很多網站和應用程序通過使用令牌讓用戶訪問自己的帳戶，而無需不斷地重新輸入密碼。具體來說，用戶登錄后，這些令牌由應用程序或網站創建，而不是用戶名和密碼。這使用戶能夠持續登錄網站，同時也允許用戶訪問第三方應用程序和網站，而不必直接提交他們的密碼。

以色列網絡安全公司CyberArk的研究人員發現，微軟出現了一個意外漏洞，這個漏洞可能會被攻擊者用來盜取這些用于訪問受害者賬戶的賬戶令牌，并且可能永遠不會提醒用戶。

CyberArk稱其發現幾十個未注冊的子域連接到了微軟開發的一些應用程序，這些內部應用程序可信度極高，因此相關的子域可以用來自動生成訪問令牌，而不需要經過用戶任何明確同意。通過這些子域，攻擊者只需欺騙毫無戒心的受害者點擊電子郵件或網站特定的鏈接，就可以盜取令牌。

據悉，該安全漏洞已于 10 月下旬報告給微軟。微軟發言人表示：“我們在 11 月解決了該報告中提到的應用程序問題，用戶仍然受到保護。”