IT之家 6 月 5 日消息,FlagLeft 安全研究团队于当地时间 6 月 2 日发文,披露了 Microsoft 365 安卓应用中存在的一项严重漏洞。好消息是这一漏洞在披露前便已被修复。
安全研究人员表示,微软旗下的多款 Android 移动应用在发布过程中由于开发人员的疏忽,不慎将一个用于测试流程的调试标记(Debug Flag)带入了正式生产版本中。
这一低级失误直接导致其安全校验机制失效,使得安装在同一设备上的任何第三方应用,都能在用户完全不知情的情况下静默窃取 Microsoft 365 账户的登录凭证(Token),进而以已登录用户的身份读取邮件、访问文件、查看日历乃至发送消息
受该漏洞影响的重点应用包括 Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop 以及 OneNote。
目前微软已紧急修复了相关问题,并针对不同应用发布了相应的安全补丁,建议所有受影响的用户立即通过应用商店更新至最新版本。
安全研究人员指出,Teams 应用因未启用该调试标志而不受影响。但这些应用在谷歌 Play 商店的累计下载量达数十亿次。
漏洞的技术原理并不复杂。微软为了在正常情况下提升用户体验,在 Microsoft 365 应用之间设计了一种凭证共享机制(即单点登录)。例如,当用户登录了 Word 之后,再打开其他微软应用无需重复验证即可使用同一账户。
正常的令牌交接过程中,应用需要校验请求来源是否为受信任的微软应用。然而,由于开发人员的疏忽。安卓版 Microsoft 365 在正式版本中保留了 setIsDebugMode (true)。这一本属于开发阶段的调试标记在进入正式生产环境后,直接跳过了针对调用方身份的合法性校验,导致任何未经验证的第三方本地应用只需发送特定请求,即可直接拦截并获取账户登录凭证,全程无需用户密码,也不会弹出登录页面,甚至无需请求任何可能引起用户警觉的权限。
研究人员进一步指出,被泄露的凭证属于危险系数极高的 FOCI(Family of Client IDs)特殊凭证。此类凭证不仅可以长期重复使用和静默刷新,且在其被恶意利用时,其产生的网络流量与系统日志表现得与用户正常使用完全一致,故极其隐蔽。
攻击者通过本地恶意 App 劫持该凭证后,无需获取用户的账号密码,也无需申请任何敏感的安卓系统权限,便能直接以受害者账户的身份为所欲为,包括读取、修改和发送电子邮件、翻阅云端文档、查看日程表等。
随后,研究人员利用 AI 进行了分析,确认该安全漏洞因共享 SDK 的缘故大范围蔓延至 M365 全系六款主力安卓应用中。“原本以为只是一个应用的问题,后来发现是 M365 安卓应用的共同模式,一个简单的 Bug 影响了总计数十亿次下载的应用。”
针对这一重大供应链与发布失误,研究团队已提前向微软安全响应中心(MSRC)进行了负责任的漏洞披露。
微软方面随后确认了上述漏洞并发布了安全指南,针对不同应用所面临的风险分别赋予了不同的 CVE 编号与危险评级。
其中,Microsoft 365 Copilot 安卓版对应的漏洞编号为 CVE-2026-41100(CVSS 评分 4.4,中危);Word 安卓版对应 CVE-2026-41101(CVSS 评分 7.1,高危);PowerPoint 对应 CVE-2026-41102(CVSS 评分 7.1,高危);而微软 Office 核心组件整体的漏洞则同样归于 CVE-2026-41102(CVSS 评分达 7.7,重要级别)。
微软表示,相关漏洞的修复程序均已包含在 5 月中旬及后续的更新日志中,企业 IT 管理员应立即核查组织内部托管的安卓设备,确保所有相关办公软件处于最新安全版本状态。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
Extracted and lightly reformatted for readability. · Source: zh