Microsoft sửa lỗ hổng trong hệ thống đăng nhập

Thành Luân
Thành Luân
03/12/2019 13:42 GMT+7

Microsoft vừa thông báo đã sửa một lỗ hổng trong hệ thống đăng nhập của mình, có thể bị tin tặc khai thác để lừa các nạn nhân trao quyền truy cập hoàn toàn vào tài khoản trực tuyến của họ.

Theo TechCrunch, lỗi này cho phép kẻ tấn công âm thầm đánh cắp mã token tài khoản mà các trang web và ứng dụng sử dụng để cấp cho người dùng quyền truy cập vào tài khoản của họ. Các mã token này được tạo bởi một ứng dụng hoặc trang web thay cho tên người dùng và mật khẩu sau khi họ đăng nhập. Điều đó giúp người dùng đăng nhập liên tục vào trang web, đồng thời cũng cho phép người dùng truy cập các ứng dụng và trang web của bên thứ ba mà không cần phải trực tiếp nhập mật khẩu.
Các nhà nghiên cứu tại công ty an ninh mạng của CyberArk (Israel) phát hiện Microsoft đã để lại một lỗ hổng tình cờ, và nếu được khai thác nó có thể đã được sử dụng để lấy các token nhằm truy cập vào tài khoản nạn nhân mà không cảnh báo đến người dùng.
Nghiên cứu mới nhất của CyberArk đã tìm thấy hàng chục tên miền phụ chưa đăng ký được kết nối với một số ứng dụng do Microsoft xây dựng. Các ứng dụng nội bộ này rất đáng tin cậy và do đó, các tên miền phụ được liên kết có thể được sử dụng để tạo mã thông báo truy cập tự động mà không cần bất kỳ sự đồng ý rõ ràng nào từ người dùng. Với các tên miền phụ trong tay, kẻ tấn công sẽ lừa nạn nhân nhấp vào liên kết được chế tạo đặc biệt trong email hoặc trên trang web và mã token có thể bị đánh cắp.
Trong một số trường hợp, các nhà nghiên cứu cho biết quá trình này có thể được thực hiện theo cách “không nhấp chuột” đồng nghĩa hầu như không có sự tương tác của người dùng.
Lỗ hổng bảo mật đã được báo cáo cho Microsoft vào cuối tháng 10 và đã được sửa ba tuần sau đó. Một người phát ngôn của Microsoft cho biết “chúng tôi đã giải quyết vấn đề này với các ứng dụng được đề cập trong báo cáo vào tháng 11.2019 và khách hàng vẫn sẽ được bảo vệ”.
Đây không phải là lần đầu tiên Microsoft thực hiện sửa lỗi trong hệ thống đăng nhập của mình. Vào năm ngoái, hãng đã sửa một lỗ hổng tương tự trong đó các nhà nghiên cứu được phép thay đổi các bản ghi của tên miền phụ Microsoft với cấu hình không đúng và đánh cắp mã thông báo tài khoản Office”.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.