Wineberg解釋說,從一開始他就決定仔細看看 Outlook的驗證系統Oauth,Oauth允許用戶配置他們的應用程序以獲取在收件箱中的郵件。Wineberg成功地創造了虛假的應用程序,繞過 了OAuth的保護,從而能夠自由地訪問任何帳戶當中內容,下一步就是這個假的應用程序注入到一個網站,然后誘使受害者使用自己的Outlook帳戶訪問 該網頁,以注入惡意代碼。
更糟糕的是,微軟這個漏洞可以讓黑客和攻擊者可以永久訪問受害者帳戶,而這還不是全部的損害。據Wineberg 表示,利用該漏洞的蠕蟲病毒將不僅能夠進入被攻擊者的帳戶,而且可以盜取所有聯系人,并通過電子郵件發送附帶病毒或惡意鏈接的電子郵件,用來傳播更多的惡 意軟件。
該漏洞在8月23日被首次發現,兩天后,Wineberg已經報告給微軟。 9月15日,微軟不僅修補了安全漏洞,而且向 Wineberg支付了24000美元作為獎勵。