Microsoft dính lỗ hổng bảo mật nghiêm trọng
Mới đây, công ty nghiên cứu an ninh mạng Vectra (Mỹ) đã phát hiện ra một lỗ hổng nghiêm trọng trên ứng dụng hội họp trực tuyến Microsoft Teams.
Tương tự như Google Meet, Microsoft Teams cho phép người dùng có thể hội họp, dạy học, làm việc trực tuyến… thông qua màn hình máy tính, điện thoại.
Mới đây, công ty nghiên cứu an ninh mạng Vectra có trụ sở tại California (Mỹ) đã phát hiện ra một lỗ hổng nghiêm trọng tiềm ẩn trong phiên bản Microsoft Teams dành cho máy tính. Trong đó mã thông báo xác thực được lưu trữ dưới dạng văn bản thuần túy, khiến chúng dễ bị bên thứ ba tấn công.
Vectra nói rằng về mặt lý thuyết, những thông tin xác thực này có thể bị đánh cắp bởi kẻ tấn công có quyền truy cập hệ thống cục bộ hoặc từ xa. Microsoft đã biết về lỗ hổng này, nhưng dường như công ty không hề quan tâm đến việc sửa chữa. Một khi tin tặc có đủ quyền truy cập cần thiết, họ có thể ăn cắp dữ liệu người dùng hoặc giả mạo danh tính. Danh tính này có thể được sử dụng để đăng nhập vào Outlook hoặc Skype, bỏ qua các yêu cầu xác thực đa yếu tố (MFA).
Sự cố ảnh hưởng đến ứng dụng Teams dựa trên framework Electron, ảnh hưởng đến người dùng Windows , macOS và Linux.
Vectra khuyến nghị người dùng nên ngừng sử dụng phần mềm Microsoft Teams dành cho máy tính cho đến khi có bản sửa lỗi hoặc cách khác. Thay vào đó, bạn có thể sử dụng ứng dụng Teams trên web.
“Tai hại hơn nữa, những kẻ tấn công có thể làm xáo trộn các thông tin liên lạc hợp pháp trong một tổ chức bằng cách phá hủy, xóa bỏ có chọn lọc hoặc tham gia vào các cuộc tấn công lừa đảo có chủ đích”, Connor Pe People's, chuyên gia bảo mật tại Vectra, cho biết.
Ông lưu ý rằng lỗ hổng cụ thể này chỉ tồn tại trên phiên bản Teams dành cho máy tính để bàn do thiếu “các biện pháp kiểm soát bảo mật bổ sung để bảo vệ dữ liệu cookie”.
Microsoft nói rằng lỗ hổng không đáp ứng được yêu cầu của chúng tôi để sửa chữa ngay lập tức vì nó yêu cầu kẻ tấn công trước tiên phải có quyền truy cập vào mạng mục tiêu. Tuy nhiên, công ty không loại trừ khả năng bản sửa lỗi sẽ được tung ra trong tương lai.
Đây không phải là lần đầu tiên Microsoft Teams gặp sự cố, trước đó vào tháng 12/2021, một số thành viên trên Reddit đã phàn nàn về việc phần mềm khiến họ không thể liên lạc với đường dây nóng 911.
Thùy Dung (T/h)
- Những phần mềm bảo mật được Microsoft khuyến cáo nên dùng cho Windows
- CMC TS đạt chứng chỉ năng lực chuyên sâu của Microsoft
- Microsoft và ByteDance đạt thỏa thuận hợp tác mới về phát triển phần mềm AI
- Microsoft, Adobe và Apple cập nhật bản vá lỗ hổng bảo mật tháng 8/2022
- Phát hiện lỗ hổng bảo mật trên Microsoft khiến người dùng bị chiếm quyền kiểm soát
- Cảnh báo về các lỗ hổng bảo mật trong các sản phẩm Microsoft
- Nhiều dịch vụ của Microsoft đồng loạt gặp sự cố
Báo động chiêu trò của kẻ lừa đảo chuyên đánh cắp tài khoản ngân hàng và chứng khoán
Cảnh báo thủ đoạn mạo danh Bộ Công an, công ty Luật, Văn phòng Luật sư hỗ trợ lấy lại tiền bị lừa, bị treo
