Các nhà nghiên cứu tại Vullnerability - một công ty chuyên về dịch vụ cảnh báo lỗ hổng và tấn công lợi dụng lỗ hổng, đã tạo ra một hệ thống tự động quét tất cả các tên miền phụ của một số tên miền quan trọng của Microsoft. Việc dò quét đã phát hiện ra sự tồn tại của trên 670 tên miền phụ có thể bị chiếm quyền điều khiển.
Hiện tại, Microsoft đã thực hiện các biện pháp phòng vệ cần thiết cho một số tên miền được báo cáo, gồm: identityhelp.microsoft.com, mybrowser.microsoft.com, webeditor.visualstudio.com, data.teams.microsoft.com và sxt.cdn.skype.com.
Nếu khai thác thành công các tên miền phụ, tin tặc có thể thực hiện các thao tác:
- Yêu cầu người dùng truy cập thẻ ID hoặc thông tin đăng nhập tài khoản của họ trên identityhelp.microsoft.com;
- Buộc người dùng cài đặt tiện ích mở rộng hoặc cập nhật trình duyệt và theo dõi họ bằng cách nhúng phần mềm gián điệp/phần mềm độc hại trên mybrowser.microsoft.com;
- Yêu cầu người dùng tải lên các tệp dự án của họ và đánh cắp mã trên webeditor.visualstudio.com;
- Yêu cầu các thành viên trong nhóm tải các tài liệu nhạy cảm và tài liệu của công ty lên data.teams.microsoft.com bởi Teams App;
- Yêu cầu nạp tiền cho tài khoản Skype trên sxt.cdn.skype.com;
- Buộc người dùng tải xuống phần mềm độc hại từ download.collaborate.microsoft.com;
- Thao túng các số liệu thống kê và đồ thị trên trang incidentgraph.microsoft.com;
- Đánh cắp mật khẩu của quản trị viên trên admin.recognition.microsoft.com;
- Thao túng các truy vấn API hoặc thu thập thông tin nhạy cảm về các thiết bị trên api.getdevices.microsoft.com;
- Thu thập thông tin về các nhà phát triển trên dev.social.microsoft.com;
- Thu thập thông tin về các chứng chỉ trên manage.codesign.microsoft.com;
- Xuất bản các bản cập nhật bảo mật mới và buộc người dùng tải xuống từ *.securitycenter.windows.com.
Giao diện website khi truy cập tên miền identityhelp.microsoft.com
Do Microsoft chưa ra chính sách treo thưởng cho việc phát hiện lỗ hổng chiếm quyền kiểm soát tên miền phụ, nên Vullnerability chưa gửi thông báo đầy đủ đến Microsoft (bao gồm thông tin của 660 tên miền phụ bị ảnh hưởng khác). Vì thế, các nhà nghiên cứu khuyến cáo người dùng không nên truy cập bất kỳ tên miền phụ nào của Microsoft.
Tin tặc có thể tấn công tên miền phụ bằng các biện pháp kỹ thuật như: Khai thác tựa tấn công Stored XSS; Sao chép trang web chính và đánh cắp thông tin người dùng; Qua mặt CSP, CORS và bảo vệ dựa trên kiểm tra tham chiếu và khai thác một số lỗ hổng như XSS, CSRF, Clickjacking và đánh cắp cookie của người dùng hoặc chiếm đoạt tài khoản người dùng; Sửa nội dung các trang web nhúng nguồn từ các tên miền phụ dễ bị tổn thương hoặc chạy các lệnh JavaScript từ xa; Thao túng các điểm cuối quan trọng như API thanh toán; Buộc người dùng tải phần mềm độc hại; Tấn công thiết bị người dùng từ xa và theo dõi chúng nếu tên miền phụ này đang sử dụng cho chức năng tự động cập nhật....
Microsoft cũng lưu ý rằng, đây là một phương thức tấn công phổ biến liên quan đến việc nhắm mục tiêu hướng người dùng nhấp vào liên kết độc hại gửi qua email hoặc dịch vụ trò chuyện. Mối đe dọa có thể được giảm thiểu bằng cách tuân theo các thông lệ thực hành tốt nhất và thận trọng khi mở các liên kết hoặc tệp từ các nguồn không đáng tin cậy.
Kevin O’Brien, đồng sáng lập và là CEO của công ty bảo mật email đám mây GreatHorn chia sẻ rằng, lỗ hổng bảo mật này có khả năng lan rộng và khá nguy hại. Bằng cách chiếm quyền kiểm soát các tên miền phụ của Microsoft, tin tặc có thể vượt qua cả các công cụ bảo mật email và thư rác tốt nhất, hầu hết đều tiến hành kiểm tra ở mức tên miền thay vì mức tên miền phụ. Và mặc dù ngành công nghiệp bảo mật vốn cho rằng các vụ tấn công lừa đảo thường thành công với người dùng có trình độ học vấn thấp hoặc bất cẩn. Tuy nhiên, kỹ thuật này cho thấy tin tặc có thể tạo ra những chiến dịch lừa đảo tinh vi với một nỗ lực tương đối ít và có thể đánh lừa được cả những người dùng có trình độ hiểu biết cao về công nghệ.
Một báo cáo được công ty an ninh mạng Webroot công bố gần đây cho thấy, có đến 1/4 các địa chỉ độc hại được phát hiện vào năm 2019 được lưu trữ trên các tên miền không độc hại. Vì thế, quản trị viên cần phải theo dõi tên miền phụ của mình và thường xuyên xóa tên miền phụ không cần thiết.
Nguyễn Anh Tuấn
10:00 | 10/03/2020
10:00 | 21/01/2020
17:00 | 31/01/2020
17:00 | 14/07/2020
11:00 | 12/04/2020
17:00 | 31/01/2020
17:00 | 13/02/2020
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
10:00 | 08/05/2024
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
16:00 | 15/05/2024
