返回
快讯

Microsoft 365 Android 令牌泄露漏洞

微软多个 Microsoft 365 Android 应用因生产版保留调试标志,允许同机任意应用窃取账户 tokens,并以用户身份读取邮件、打开文件、查看日历和发送消息。微软已修补,Android 用户应尽快更新;管理设备的团队还应通过 MDM 推送更新,并在必要时撤销 refresh tokens 重新登录。

CVE-2026-41100CVE-2026-41101CVE-2026-41102CVE-2026-42832

在多个 Microsoft 365 Android 应用的生产版中,一个仍然开启的开发标志,禁用了仅允许受信任 Microsoft 应用共享 account-token 的检查。

同一部手机上的任何其他应用都可以请求已登录用户的 token 并获取它,然后以该用户身份读取 email、打开文件、浏览 calendar,并发送消息。无需密码、无需登录界面、无需权限提示。

Microsoft 已修补该问题,如果你在 Android 上运行 Microsoft 365 apps,请更新它们。

Enclave 将这个 bug 命名为 FlagLeft,它影响 Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop 和 OneNote,这六款应用合计下载量达数十亿次。Teams 的同一标志被设置为 false,因此不受影响,Enclave 认为这更像是失误而不是设计。

Microsoft 365 apps 会有意共享账户访问,因此在 Word 中登录后,你不需要再次登录 PowerPoint。这个交接过程本应验证请求者身份,并拒绝任何不是受信任 Microsoft app 的请求。

Enclave 的 Yanir Tsarimi 和 Ofek Levin 发现,由于 shipping code 中遗留的一行 setIsDebugMode(true),检查被跳过了。该 flaw 位于一个共享的 Microsoft SDK 中,因此同一个漏洞会出现在一个又一个应用里。

被交付的 tokens 是 FOCI tokens,这是一类 Microsoft 用于其应用间 single sign-on 的 refresh tokens。它们可以在较长时间内被刷新和复用,而生成的流量在日志中看起来很正常。从用户侧看,不会出现任何可见变化。

Enclave 构建了一个可工作的 proof of concept,通过一个未经验证的第三方 app 获取 tokens,并用这些 tokens 读取 email。Microsoft 将这类问题归类为 local spoofing flaws;直白地说,只要设备上已经有一个恶意 app 就足够了。

Microsoft 在 5 月 12 日发布了四个 CVE,均因 improper access control(CWE-284)被归类为 spoofing:CVE-2026-41100 对应 Microsoft 365 Copilot(CVSS 4.4),CVE-2026-41101 对应 Word(CVSS 7.1),CVE-2026-41102 对应 PowerPoint(CVSS 7.1),以及 CVE-2026-42832 对应 Excel(CVSS 7.7)。这四个 CVE 覆盖 Copilot、Word、PowerPoint 和 Excel。

Enclave 还在 Loop 和 OneNote 中报告了同样的 flaw,但它们没有在 5 月这一批中获得单独的 CVE。NVD 将 Android 版已修补的 Word build 记录为 16.0.19822.20190,更早版本受影响。其他应用则通过相同的 Google Play updates 得到修复。

Microsoft 5 月 Patch Tuesday 发布内容中没有任何条目标记为已公开或已被利用,也没有公开证据表明该 flaw 在修复前被利用过。

应如何处理?从 Google Play 更新 Word、PowerPoint、Excel、Microsoft 365 Copilot、Loop 和 OneNote。管理 Android 设备群的安全团队应通过 MDM 推送这些更新,并确认设备已离开早于 16.0.19822.20190 的 build。

补丁修复了这个漏洞,但不会追溯性地作废攻击者可能已经持有的 tokens。FOCI refresh tokens 的寿命长于应用更新,因此对于曾在老版本与不受信任应用并存的设备上的账户,建议撤销 refresh tokens 并强制重新登录。