Microsoft sửa lỗ hổng trong hệ thống đăng nhập

Theo dõi Báo Gia Lai trên Google News

Microsoft vừa thông báo đã sửa một lỗ hổng trong hệ thống đăng nhập của mình, có thể bị tin tặc khai thác để lừa các nạn nhân trao quyền truy cập hoàn toàn vào tài khoản trực tuyến của họ.

 Microsoft vừa hoàn tất sửa chữa một lỗ hổng bảo mật nghiêm trọng từ các thông báo của chuyên gia bảo mật công ty CyberArk - Ảnh chụp màn hình WSJ
Microsoft vừa hoàn tất sửa chữa một lỗ hổng bảo mật nghiêm trọng từ các thông báo của chuyên gia bảo mật công ty CyberArk - Ảnh chụp màn hình WSJ



Theo TechCrunch, lỗi này cho phép kẻ tấn công âm thầm đánh cắp mã token tài khoản mà các trang web và ứng dụng sử dụng để cấp cho người dùng quyền truy cập vào tài khoản của họ. Các mã token này được tạo bởi một ứng dụng hoặc trang web thay cho tên người dùng và mật khẩu sau khi họ đăng nhập. Điều đó giúp người dùng đăng nhập liên tục vào trang web, đồng thời cũng cho phép người dùng truy cập các ứng dụng và trang web của bên thứ ba mà không cần phải trực tiếp nhập mật khẩu.

Các nhà nghiên cứu tại công ty an ninh mạng của CyberArk (Israel) phát hiện Microsoft đã để lại một lỗ hổng tình cờ, và nếu được khai thác nó có thể đã được sử dụng để lấy các token nhằm truy cập vào tài khoản nạn nhân mà không cảnh báo đến người dùng.

Nghiên cứu mới nhất của CyberArk đã tìm thấy hàng chục tên miền phụ chưa đăng ký được kết nối với một số ứng dụng do Microsoft xây dựng. Các ứng dụng nội bộ này rất đáng tin cậy và do đó, các tên miền phụ được liên kết có thể được sử dụng để tạo mã thông báo truy cập tự động mà không cần bất kỳ sự đồng ý rõ ràng nào từ người dùng. Với các tên miền phụ trong tay, kẻ tấn công sẽ lừa nạn nhân nhấp vào liên kết được chế tạo đặc biệt trong email hoặc trên trang web và mã token có thể bị đánh cắp.

Trong một số trường hợp, các nhà nghiên cứu cho biết quá trình này có thể được thực hiện theo cách “không nhấp chuột” đồng nghĩa hầu như không có sự tương tác của người dùng.

Lỗ hổng bảo mật đã được báo cáo cho Microsoft vào cuối tháng 10 và đã được sửa ba tuần sau đó. Một người phát ngôn của Microsoft cho biết “chúng tôi đã giải quyết vấn đề này với các ứng dụng được đề cập trong báo cáo vào tháng 11.2019 và khách hàng vẫn sẽ được bảo vệ”.

Đây không phải là lần đầu tiên Microsoft thực hiện sửa lỗi trong hệ thống đăng nhập của mình. Vào năm ngoái, hãng đã sửa một lỗ hổng tương tự trong đó các nhà nghiên cứu được phép thay đổi các bản ghi của tên miền phụ Microsoft với cấu hình không đúng và đánh cắp mã thông báo tài khoản Office”.

Theo Thành Luân (thanhnien)

Có thể bạn quan tâm

Khánh thành iKame - Tổ hợp không gian sáng tạo dành cho tài năng Game đầu tiên ở trường đại học

Khánh thành iKame - Tổ hợp không gian sáng tạo dành cho tài năng Game đầu tiên ở trường đại học

(GLO)- Ngày 18-9, Học viện Công nghệ Bưu chính Viễn thông (PTIT) và Công ty CP iKame Global (iKame) tổ chức Lễ khai trương Tổ hợp không gian sáng tạo iKame. Đây sẽ là nơi ươm mầm cho những dự án sáng tạo Game, giúp sinh viên phát triển, khởi nghiệp ngay từ khi còn ngồi trên ghế nhà trường.

OpenAI “bắt tay” với Broadcom sản xuất chip AI

OpenAI “bắt tay” với Broadcom sản xuất chip AI

(GLO)- OpenAI sẽ “bắt tay” hợp tác với Tập đoàn bán dẫn Broadcom (Mỹ) sản xuất hàng loạt chip trí tuệ nhân tạo (AI) của riêng mình từ năm 2025. Đây được xem là nỗ lực đáp ứng nhu cầu tính toán khổng lồ và giảm sự phụ thuộc vào nhà cung cấp GPU Nvidia.

Bệnh viện Phong - Da liễu Trung ương Quy Hòa nhận tài trợ chuyển đổi số từ VietinBank

Bệnh viện Phong - Da liễu Trung ương Quy Hòa nhận tài trợ chuyển đổi số từ VietinBank

(GLO)-Ngày 28-8, Ngân hàng TMCP Công Thương Việt Nam (Vietinbank) - Chi nhánh khu công nghiệp Phú Tài tặng hệ thống phần mềm thanh toán viện phí trực tuyến; hệ thống phần mềm đăng ký khám bệnh; thiết bị Kiosk TAG, phần mềm tiếp đón bệnh nhân tự động cho Bệnh viện Phong - Da liễu Trung ương Quy Hòa.

Từ 'trái tim' đến con người

Từ 'trái tim' đến con người

Vừa được khai trương trên khu đất rộng 20 ha, Trung tâm dữ liệu quốc gia số 1 do Bộ Công an xây dựng là một trong những trung tâm dữ liệu có quy mô lớn nhất Đông Nam Á, đạt chứng chỉ quốc tế với cấp độ cao nhất.

null