Microsoft sửa lỗ hổng trong hệ thống đăng nhập

Theo dõi Báo Gia Lai trên Google News

Microsoft vừa thông báo đã sửa một lỗ hổng trong hệ thống đăng nhập của mình, có thể bị tin tặc khai thác để lừa các nạn nhân trao quyền truy cập hoàn toàn vào tài khoản trực tuyến của họ.

 Microsoft vừa hoàn tất sửa chữa một lỗ hổng bảo mật nghiêm trọng từ các thông báo của chuyên gia bảo mật công ty CyberArk - Ảnh chụp màn hình WSJ
Microsoft vừa hoàn tất sửa chữa một lỗ hổng bảo mật nghiêm trọng từ các thông báo của chuyên gia bảo mật công ty CyberArk - Ảnh chụp màn hình WSJ



Theo TechCrunch, lỗi này cho phép kẻ tấn công âm thầm đánh cắp mã token tài khoản mà các trang web và ứng dụng sử dụng để cấp cho người dùng quyền truy cập vào tài khoản của họ. Các mã token này được tạo bởi một ứng dụng hoặc trang web thay cho tên người dùng và mật khẩu sau khi họ đăng nhập. Điều đó giúp người dùng đăng nhập liên tục vào trang web, đồng thời cũng cho phép người dùng truy cập các ứng dụng và trang web của bên thứ ba mà không cần phải trực tiếp nhập mật khẩu.

Các nhà nghiên cứu tại công ty an ninh mạng của CyberArk (Israel) phát hiện Microsoft đã để lại một lỗ hổng tình cờ, và nếu được khai thác nó có thể đã được sử dụng để lấy các token nhằm truy cập vào tài khoản nạn nhân mà không cảnh báo đến người dùng.

Nghiên cứu mới nhất của CyberArk đã tìm thấy hàng chục tên miền phụ chưa đăng ký được kết nối với một số ứng dụng do Microsoft xây dựng. Các ứng dụng nội bộ này rất đáng tin cậy và do đó, các tên miền phụ được liên kết có thể được sử dụng để tạo mã thông báo truy cập tự động mà không cần bất kỳ sự đồng ý rõ ràng nào từ người dùng. Với các tên miền phụ trong tay, kẻ tấn công sẽ lừa nạn nhân nhấp vào liên kết được chế tạo đặc biệt trong email hoặc trên trang web và mã token có thể bị đánh cắp.

Trong một số trường hợp, các nhà nghiên cứu cho biết quá trình này có thể được thực hiện theo cách “không nhấp chuột” đồng nghĩa hầu như không có sự tương tác của người dùng.

Lỗ hổng bảo mật đã được báo cáo cho Microsoft vào cuối tháng 10 và đã được sửa ba tuần sau đó. Một người phát ngôn của Microsoft cho biết “chúng tôi đã giải quyết vấn đề này với các ứng dụng được đề cập trong báo cáo vào tháng 11.2019 và khách hàng vẫn sẽ được bảo vệ”.

Đây không phải là lần đầu tiên Microsoft thực hiện sửa lỗi trong hệ thống đăng nhập của mình. Vào năm ngoái, hãng đã sửa một lỗ hổng tương tự trong đó các nhà nghiên cứu được phép thay đổi các bản ghi của tên miền phụ Microsoft với cấu hình không đúng và đánh cắp mã thông báo tài khoản Office”.

Theo Thành Luân (thanhnien)

Có thể bạn quan tâm

Tăng tốc làm sạch dữ liệu lý lịch tư pháp

Tăng tốc làm sạch dữ liệu lý lịch tư pháp

(GLO)- Với tinh thần làm việc liên tục, kể cả ngày nghỉ, cán bộ, chiến sĩ Phòng Hồ sơ nghiệp vụ (Công an tỉnh) đang khẩn trương rà soát, chuẩn hóa và đồng bộ dữ liệu lý lịch tư pháp. Đây là khâu quan trọng góp phần nâng cao chất lượng phục vụ nhân dân trong thời kỳ chuyển đổi số.

Khánh thành iKame - Tổ hợp không gian sáng tạo dành cho tài năng Game đầu tiên ở trường đại học

Khánh thành iKame - Tổ hợp không gian sáng tạo dành cho tài năng Game đầu tiên ở trường đại học

(GLO)- Ngày 18-9, Học viện Công nghệ Bưu chính Viễn thông (PTIT) và Công ty CP iKame Global (iKame) tổ chức Lễ khai trương Tổ hợp không gian sáng tạo iKame. Đây sẽ là nơi ươm mầm cho những dự án sáng tạo Game, giúp sinh viên phát triển, khởi nghiệp ngay từ khi còn ngồi trên ghế nhà trường.

null