Microsoft heeft een beveiligingslek in het inlogmechanisme voor Outlook.com gedicht waardoor een aanvaller accounts van de webmaildienst, en mogelijk ook andere Microsoft-diensten, kon kapen. Alleen het bezoeken van een kwaadaardige website of het te zien krijgen van een kwaadaardige advertentie met een ingelogd account was hiervoor voldoende, zo stelt onderzoeker Wesley Wineberg van beveiligingsbedrijf Synack.

Hij ontdekte op 23 augustus de kwetsbaarheid in het inlogmechanisme van Live.com en heeft nu zijn onderzoek openbaar gemaakt. Login.live.com is het authenticatiesysteem dat Microsoft gebruikt om gebruikers op Outlook.com en andere Microsoft-diensten in te laten loggen. Het probleem dat Wineberg aantrof wordt cross-site request forgery (CSRF) genoemd. Hierbij worden in naam van een gebruiker ongeautoriseerde acties uitgevoerd.

Eigenaren van een Microsoft-account, dat voor Outlook.com wordt gebruikt, kunnen apps toegang tot bepaalde zaken geven, bijvoorbeeld het adresboek of profielgegevens. De gebruiker moet deze toegang echter zelf bevestigen en krijgt ook duidelijk te zien waar de app precies toegang toe wil krijgen. Wineberg ontwikkelde een aanval waarbij CSRF wordt gebruikt om deze handeling in naam van de gebruiker uit te voeren.

In dit geval zou de gebruiker toestemming verlenen aan een app die volledige toegang tot het account kreeg. De CSRF-code zou daarbij automatisch worden uitgevoerd zodra een bij Microsoft ingelogde gebruiker een kwaadaardige website bezocht of een kwaadaardige advertentie te zien kreeg. Na te zijn ingelicht werd de kwetsbaarheid drie weken later door Microsoft gedicht en ontving Wineberg een beloning van 24.000 dollar.