IT之家 6 月 5 日消息，F(xiàn)lagLeft 安全研究團(tuán)隊于當(dāng)?shù)貢r間 6 月 2 日發(fā)文，披露了 Microsoft 365 安卓應(yīng)用中存在的一項嚴(yán)重漏洞。好消息是這一漏洞在披露前便已被修復(fù)。

安全研究人員表示，微軟旗下的多款 Android 移動應(yīng)用在發(fā)布過程中由于開發(fā)人員的疏忽，不慎將一個用于測試流程的調(diào)試標(biāo)記（Debug Flag）帶入了正式生產(chǎn)版本中。

這一低級失誤直接導(dǎo)致其安全校驗(yàn)機(jī)制失效，使得安裝在同一設(shè)備上的任何第三方應(yīng)用，都能在用戶完全不知情的情況下靜默竊取 Microsoft 365 賬戶的登錄憑證（Token），進(jìn)而以已登錄用戶的身份讀取郵件、訪問文件、查看日歷乃至發(fā)送消息

受該漏洞影響的重點(diǎn)應(yīng)用包括 Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop 以及 OneNote。

目前微軟已緊急修復(fù)了相關(guān)問題，并針對不同應(yīng)用發(fā)布了相應(yīng)的安全補(bǔ)丁，建議所有受影響的用戶立即通過應(yīng)用商店更新至最新版本。

安全研究人員指出，Teams 應(yīng)用因未啟用該調(diào)試標(biāo)志而不受影響。但這些應(yīng)用在谷歌 Play 商店的累計下載量達(dá)數(shù)十億次。

漏洞的技術(shù)原理并不復(fù)雜。微軟為了在正常情況下提升用戶體驗(yàn)，在 Microsoft 365 應(yīng)用之間設(shè)計了一種憑證共享機(jī)制（即單點(diǎn)登錄）。例如，當(dāng)用戶登錄了 Word 之后，再打開其他微軟應(yīng)用無需重復(fù)驗(yàn)證即可使用同一賬戶。

正常的令牌交接過程中，應(yīng)用需要校驗(yàn)請求來源是否為受信任的微軟應(yīng)用。然而，由于開發(fā)人員的疏忽。安卓版 Microsoft 365 在正式版本中保留了 setIsDebugMode (true)。這一本屬于開發(fā)階段的調(diào)試標(biāo)記在進(jìn)入正式生產(chǎn)環(huán)境后，直接跳過了針對調(diào)用方身份的合法性校驗(yàn)，導(dǎo)致任何未經(jīng)驗(yàn)證的第三方本地應(yīng)用只需發(fā)送特定請求，即可直接攔截并獲取賬戶登錄憑證，全程無需用戶密碼，也不會彈出登錄頁面，甚至無需請求任何可能引起用戶警覺的權(quán)限。

研究人員進(jìn)一步指出，被泄露的憑證屬于危險系數(shù)極高的 FOCI（Family of Client IDs）特殊憑證。此類憑證不僅可以長期重復(fù)使用和靜默刷新，且在其被惡意利用時，其產(chǎn)生的網(wǎng)絡(luò)流量與系統(tǒng)日志表現(xiàn)得與用戶正常使用完全一致，故極其隱蔽。

攻擊者通過本地惡意 App 劫持該憑證后，無需獲取用戶的賬號密碼，也無需申請任何敏感的安卓系統(tǒng)權(quán)限，便能直接以受害者賬戶的身份為所欲為，包括讀取、修改和發(fā)送電子郵件、翻閱云端文檔、查看日程表等。

隨后，研究人員利用 AI 進(jìn)行了分析，確認(rèn)該安全漏洞因共享 SDK 的緣故大范圍蔓延至 M365 全系六款主力安卓應(yīng)用中?！霸疽詾橹皇且粋€應(yīng)用的問題，后來發(fā)現(xiàn)是 M365 安卓應(yīng)用的共同模式，一個簡單的 Bug 影響了總計數(shù)十億次下載的應(yīng)用。”

針對這一重大供應(yīng)鏈與發(fā)布失誤，研究團(tuán)隊已提前向微軟安全響應(yīng)中心（MSRC）進(jìn)行了負(fù)責(zé)任的漏洞披露。

微軟方面隨后確認(rèn)了上述漏洞并發(fā)布了安全指南，針對不同應(yīng)用所面臨的風(fēng)險分別賦予了不同的 CVE 編號與危險評級。

其中，Microsoft 365 Copilot 安卓版對應(yīng)的漏洞編號為 CVE-2026-41100（CVSS 評分 4.4，中危）；Word 安卓版對應(yīng) CVE-2026-41101（CVSS 評分 7.1，高危）；PowerPoint 對應(yīng) CVE-2026-41102（CVSS 評分 7.1，高危）；而微軟 Office 核心組件整體的漏洞則同樣歸于 CVE-2026-41102（CVSS 評分達(dá) 7.7，重要級別）。

微軟表示，相關(guān)漏洞的修復(fù)程序均已包含在 5 月中旬及后續(xù)的更新日志中，企業(yè) IT 管理員應(yīng)立即核查組織內(nèi)部托管的安卓設(shè)備，確保所有相關(guān)辦公軟件處于最新安全版本狀態(tài)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。