Các nhà nghiên cứu tại Vullnerability - một công ty chuyên về dịch vụ cảnh báo lỗ hổng và tấn công lợi dụng lỗ hổng, đã tạo ra một hệ thống tự động quét tất cả các tên miền phụ của một số tên miền quan trọng của Microsoft. Việc dò quét đã phát hiện ra sự tồn tại của trên 670 tên miền phụ có thể bị chiếm quyền điều khiển.
Hiện tại, Microsoft đã thực hiện các biện pháp phòng vệ cần thiết cho một số tên miền được báo cáo, gồm: identityhelp.microsoft.com, mybrowser.microsoft.com, webeditor.visualstudio.com, data.teams.microsoft.com và sxt.cdn.skype.com.
Nếu khai thác thành công các tên miền phụ, tin tặc có thể thực hiện các thao tác:
- Yêu cầu người dùng truy cập thẻ ID hoặc thông tin đăng nhập tài khoản của họ trên identityhelp.microsoft.com;
- Buộc người dùng cài đặt tiện ích mở rộng hoặc cập nhật trình duyệt và theo dõi họ bằng cách nhúng phần mềm gián điệp/phần mềm độc hại trên mybrowser.microsoft.com;
- Yêu cầu người dùng tải lên các tệp dự án của họ và đánh cắp mã trên webeditor.visualstudio.com;
- Yêu cầu các thành viên trong nhóm tải các tài liệu nhạy cảm và tài liệu của công ty lên data.teams.microsoft.com bởi Teams App;
- Yêu cầu nạp tiền cho tài khoản Skype trên sxt.cdn.skype.com;
- Buộc người dùng tải xuống phần mềm độc hại từ download.collaborate.microsoft.com;
- Thao túng các số liệu thống kê và đồ thị trên trang incidentgraph.microsoft.com;
- Đánh cắp mật khẩu của quản trị viên trên admin.recognition.microsoft.com;
- Thao túng các truy vấn API hoặc thu thập thông tin nhạy cảm về các thiết bị trên api.getdevices.microsoft.com;
- Thu thập thông tin về các nhà phát triển trên dev.social.microsoft.com;
- Thu thập thông tin về các chứng chỉ trên manage.codesign.microsoft.com;
- Xuất bản các bản cập nhật bảo mật mới và buộc người dùng tải xuống từ *.securitycenter.windows.com.
Giao diện website khi truy cập tên miền identityhelp.microsoft.com
Do Microsoft chưa ra chính sách treo thưởng cho việc phát hiện lỗ hổng chiếm quyền kiểm soát tên miền phụ, nên Vullnerability chưa gửi thông báo đầy đủ đến Microsoft (bao gồm thông tin của 660 tên miền phụ bị ảnh hưởng khác). Vì thế, các nhà nghiên cứu khuyến cáo người dùng không nên truy cập bất kỳ tên miền phụ nào của Microsoft.
Tin tặc có thể tấn công tên miền phụ bằng các biện pháp kỹ thuật như: Khai thác tựa tấn công Stored XSS; Sao chép trang web chính và đánh cắp thông tin người dùng; Qua mặt CSP, CORS và bảo vệ dựa trên kiểm tra tham chiếu và khai thác một số lỗ hổng như XSS, CSRF, Clickjacking và đánh cắp cookie của người dùng hoặc chiếm đoạt tài khoản người dùng; Sửa nội dung các trang web nhúng nguồn từ các tên miền phụ dễ bị tổn thương hoặc chạy các lệnh JavaScript từ xa; Thao túng các điểm cuối quan trọng như API thanh toán; Buộc người dùng tải phần mềm độc hại; Tấn công thiết bị người dùng từ xa và theo dõi chúng nếu tên miền phụ này đang sử dụng cho chức năng tự động cập nhật....
Microsoft cũng lưu ý rằng, đây là một phương thức tấn công phổ biến liên quan đến việc nhắm mục tiêu hướng người dùng nhấp vào liên kết độc hại gửi qua email hoặc dịch vụ trò chuyện. Mối đe dọa có thể được giảm thiểu bằng cách tuân theo các thông lệ thực hành tốt nhất và thận trọng khi mở các liên kết hoặc tệp từ các nguồn không đáng tin cậy.
Kevin O’Brien, đồng sáng lập và là CEO của công ty bảo mật email đám mây GreatHorn chia sẻ rằng, lỗ hổng bảo mật này có khả năng lan rộng và khá nguy hại. Bằng cách chiếm quyền kiểm soát các tên miền phụ của Microsoft, tin tặc có thể vượt qua cả các công cụ bảo mật email và thư rác tốt nhất, hầu hết đều tiến hành kiểm tra ở mức tên miền thay vì mức tên miền phụ. Và mặc dù ngành công nghiệp bảo mật vốn cho rằng các vụ tấn công lừa đảo thường thành công với người dùng có trình độ học vấn thấp hoặc bất cẩn. Tuy nhiên, kỹ thuật này cho thấy tin tặc có thể tạo ra những chiến dịch lừa đảo tinh vi với một nỗ lực tương đối ít và có thể đánh lừa được cả những người dùng có trình độ hiểu biết cao về công nghệ.
Một báo cáo được công ty an ninh mạng Webroot công bố gần đây cho thấy, có đến 1/4 các địa chỉ độc hại được phát hiện vào năm 2019 được lưu trữ trên các tên miền không độc hại. Vì thế, quản trị viên cần phải theo dõi tên miền phụ của mình và thường xuyên xóa tên miền phụ không cần thiết.
Nguyễn Anh Tuấn
10:00 | 10/03/2020
10:00 | 21/01/2020
17:00 | 31/01/2020
17:00 | 14/07/2020
11:00 | 12/04/2020
17:00 | 31/01/2020
17:00 | 13/02/2020
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024
