Synack的高级安全研究员Wesley Wineberg已经收到了微软奖励的25000美元，这是为了奖励他向微软报告的一个漏洞，这是一个CSRF漏洞，可劫持任意Hotmail账户。

CSRF（跨站请求伪造）漏洞意味着任何访问恶意页面的用户，他们的账号都会在没有交互的情况下被劫持。

该漏洞存在于微软的Live.com中，现在已经被修补，Wineberg说，如果进行刻意设计，可以发展成一个蠕虫。

“通过IMAP和通讯录，蠕虫可以很容易的通过电子邮件发送给用户的所有联系人，至少是那些使用Hotmail, Outlook.com的人，邮件可以是一些诱人的内容，类似于ILOVEYOU病毒的风格，以便于传播。”，Wineberg说。

“唯一的前提就是需要用户已经处于登录状态，在他们的cookie中要有一个有效的会话token。”

“这个CSRF漏洞可以让我绕过Oauth身份验证系统的用户交互步骤。”

Wineberg也做了一个POC进行会话劫持演示，这里是它的视频：

他说，该漏洞是由于一个关键认证区域中存在经典的CSRF。

在微软的其他API中尚未发现类似问题。