Microsoft sửa lỗ hổng trong hệ thống đăng nhập

Theo dõi Báo Gia Lai trênGoogle News

Microsoft vừa thông báo đã sửa một lỗ hổng trong hệ thống đăng nhập của mình, có thể bị tin tặc khai thác để lừa các nạn nhân trao quyền truy cập hoàn toàn vào tài khoản trực tuyến của họ.

 Microsoft vừa hoàn tất sửa chữa một lỗ hổng bảo mật nghiêm trọng từ các thông báo của chuyên gia bảo mật công ty CyberArk - Ảnh chụp màn hình WSJ
Microsoft vừa hoàn tất sửa chữa một lỗ hổng bảo mật nghiêm trọng từ các thông báo của chuyên gia bảo mật công ty CyberArk - Ảnh chụp màn hình WSJ



Theo TechCrunch, lỗi này cho phép kẻ tấn công âm thầm đánh cắp mã token tài khoản mà các trang web và ứng dụng sử dụng để cấp cho người dùng quyền truy cập vào tài khoản của họ. Các mã token này được tạo bởi một ứng dụng hoặc trang web thay cho tên người dùng và mật khẩu sau khi họ đăng nhập. Điều đó giúp người dùng đăng nhập liên tục vào trang web, đồng thời cũng cho phép người dùng truy cập các ứng dụng và trang web của bên thứ ba mà không cần phải trực tiếp nhập mật khẩu.

Các nhà nghiên cứu tại công ty an ninh mạng của CyberArk (Israel) phát hiện Microsoft đã để lại một lỗ hổng tình cờ, và nếu được khai thác nó có thể đã được sử dụng để lấy các token nhằm truy cập vào tài khoản nạn nhân mà không cảnh báo đến người dùng.

Nghiên cứu mới nhất của CyberArk đã tìm thấy hàng chục tên miền phụ chưa đăng ký được kết nối với một số ứng dụng do Microsoft xây dựng. Các ứng dụng nội bộ này rất đáng tin cậy và do đó, các tên miền phụ được liên kết có thể được sử dụng để tạo mã thông báo truy cập tự động mà không cần bất kỳ sự đồng ý rõ ràng nào từ người dùng. Với các tên miền phụ trong tay, kẻ tấn công sẽ lừa nạn nhân nhấp vào liên kết được chế tạo đặc biệt trong email hoặc trên trang web và mã token có thể bị đánh cắp.

Trong một số trường hợp, các nhà nghiên cứu cho biết quá trình này có thể được thực hiện theo cách “không nhấp chuột” đồng nghĩa hầu như không có sự tương tác của người dùng.

Lỗ hổng bảo mật đã được báo cáo cho Microsoft vào cuối tháng 10 và đã được sửa ba tuần sau đó. Một người phát ngôn của Microsoft cho biết “chúng tôi đã giải quyết vấn đề này với các ứng dụng được đề cập trong báo cáo vào tháng 11.2019 và khách hàng vẫn sẽ được bảo vệ”.

Đây không phải là lần đầu tiên Microsoft thực hiện sửa lỗi trong hệ thống đăng nhập của mình. Vào năm ngoái, hãng đã sửa một lỗ hổng tương tự trong đó các nhà nghiên cứu được phép thay đổi các bản ghi của tên miền phụ Microsoft với cấu hình không đúng và đánh cắp mã thông báo tài khoản Office”.

Theo Thành Luân (thanhnien)

Có thể bạn quan tâm

Việc áp dụng, duy trì và cải tiến HTQLCL theo Tiêu chuẩn quốc gia TCVN ISO 9001: 2015 góp phần cải thiện và nâng cao chỉ số cải cách hành chính, chỉ số hài lòng của người dân, tổ chức đối với sự phục vụ của CQHCNN trên địa bàn tỉnh. Ảnh: Nhật Hào

Gia Lai áp dụng, duy trì và cải tiến hệ thống quản lý chất lượng theo Tiêu chuẩn quốc gia TCVN ISO 9001:2015

(GLO)-Ủy ban nhân dân tỉnh Gia Lai vừa ban hành Kế hoạch số 2555/KH-UBND về triển khai hoạt động xây dựng, áp dụng, duy trì và cải tiến Hệ thống quản lý chất lượng theo Tiêu chuẩn quốc gia TCVN ISO 9001:2015 tại các cơ quan, tổ chức thuộc hệ thống hành chính Nhà nước trên địa bàn tỉnh năm 2025.