Các nhà nghiên cứu tại Vullnerability - một công ty chuyên về dịch vụ cảnh báo lỗ hổng và tấn công lợi dụng lỗ hổng, đã tạo ra một hệ thống tự động quét tất cả các tên miền phụ của một số tên miền quan trọng của Microsoft. Việc dò quét đã phát hiện ra sự tồn tại của trên 670 tên miền phụ có thể bị chiếm quyền điều khiển.
Hiện tại, Microsoft đã thực hiện các biện pháp phòng vệ cần thiết cho một số tên miền được báo cáo, gồm: identityhelp.microsoft.com, mybrowser.microsoft.com, webeditor.visualstudio.com, data.teams.microsoft.com và sxt.cdn.skype.com.
Nếu khai thác thành công các tên miền phụ, tin tặc có thể thực hiện các thao tác:
- Yêu cầu người dùng truy cập thẻ ID hoặc thông tin đăng nhập tài khoản của họ trên identityhelp.microsoft.com;
- Buộc người dùng cài đặt tiện ích mở rộng hoặc cập nhật trình duyệt và theo dõi họ bằng cách nhúng phần mềm gián điệp/phần mềm độc hại trên mybrowser.microsoft.com;
- Yêu cầu người dùng tải lên các tệp dự án của họ và đánh cắp mã trên webeditor.visualstudio.com;
- Yêu cầu các thành viên trong nhóm tải các tài liệu nhạy cảm và tài liệu của công ty lên data.teams.microsoft.com bởi Teams App;
- Yêu cầu nạp tiền cho tài khoản Skype trên sxt.cdn.skype.com;
- Buộc người dùng tải xuống phần mềm độc hại từ download.collaborate.microsoft.com;
- Thao túng các số liệu thống kê và đồ thị trên trang incidentgraph.microsoft.com;
- Đánh cắp mật khẩu của quản trị viên trên admin.recognition.microsoft.com;
- Thao túng các truy vấn API hoặc thu thập thông tin nhạy cảm về các thiết bị trên api.getdevices.microsoft.com;
- Thu thập thông tin về các nhà phát triển trên dev.social.microsoft.com;
- Thu thập thông tin về các chứng chỉ trên manage.codesign.microsoft.com;
- Xuất bản các bản cập nhật bảo mật mới và buộc người dùng tải xuống từ *.securitycenter.windows.com.
Giao diện website khi truy cập tên miền identityhelp.microsoft.com
Do Microsoft chưa ra chính sách treo thưởng cho việc phát hiện lỗ hổng chiếm quyền kiểm soát tên miền phụ, nên Vullnerability chưa gửi thông báo đầy đủ đến Microsoft (bao gồm thông tin của 660 tên miền phụ bị ảnh hưởng khác). Vì thế, các nhà nghiên cứu khuyến cáo người dùng không nên truy cập bất kỳ tên miền phụ nào của Microsoft.
Tin tặc có thể tấn công tên miền phụ bằng các biện pháp kỹ thuật như: Khai thác tựa tấn công Stored XSS; Sao chép trang web chính và đánh cắp thông tin người dùng; Qua mặt CSP, CORS và bảo vệ dựa trên kiểm tra tham chiếu và khai thác một số lỗ hổng như XSS, CSRF, Clickjacking và đánh cắp cookie của người dùng hoặc chiếm đoạt tài khoản người dùng; Sửa nội dung các trang web nhúng nguồn từ các tên miền phụ dễ bị tổn thương hoặc chạy các lệnh JavaScript từ xa; Thao túng các điểm cuối quan trọng như API thanh toán; Buộc người dùng tải phần mềm độc hại; Tấn công thiết bị người dùng từ xa và theo dõi chúng nếu tên miền phụ này đang sử dụng cho chức năng tự động cập nhật....
Microsoft cũng lưu ý rằng, đây là một phương thức tấn công phổ biến liên quan đến việc nhắm mục tiêu hướng người dùng nhấp vào liên kết độc hại gửi qua email hoặc dịch vụ trò chuyện. Mối đe dọa có thể được giảm thiểu bằng cách tuân theo các thông lệ thực hành tốt nhất và thận trọng khi mở các liên kết hoặc tệp từ các nguồn không đáng tin cậy.
Kevin O’Brien, đồng sáng lập và là CEO của công ty bảo mật email đám mây GreatHorn chia sẻ rằng, lỗ hổng bảo mật này có khả năng lan rộng và khá nguy hại. Bằng cách chiếm quyền kiểm soát các tên miền phụ của Microsoft, tin tặc có thể vượt qua cả các công cụ bảo mật email và thư rác tốt nhất, hầu hết đều tiến hành kiểm tra ở mức tên miền thay vì mức tên miền phụ. Và mặc dù ngành công nghiệp bảo mật vốn cho rằng các vụ tấn công lừa đảo thường thành công với người dùng có trình độ học vấn thấp hoặc bất cẩn. Tuy nhiên, kỹ thuật này cho thấy tin tặc có thể tạo ra những chiến dịch lừa đảo tinh vi với một nỗ lực tương đối ít và có thể đánh lừa được cả những người dùng có trình độ hiểu biết cao về công nghệ.
Một báo cáo được công ty an ninh mạng Webroot công bố gần đây cho thấy, có đến 1/4 các địa chỉ độc hại được phát hiện vào năm 2019 được lưu trữ trên các tên miền không độc hại. Vì thế, quản trị viên cần phải theo dõi tên miền phụ của mình và thường xuyên xóa tên miền phụ không cần thiết.
Nguyễn Anh Tuấn
10:00 | 10/03/2020
10:00 | 21/01/2020
17:00 | 14/07/2020
17:00 | 31/01/2020
11:00 | 12/04/2020
18:00 | 11/10/2024
17:00 | 31/01/2020
17:00 | 13/02/2020
10:00 | 24/12/2024
Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.
10:00 | 28/11/2024
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Thống kê trong năm qua của Kaspersky đã phát hiện hơn 33,3 triệu cuộc tấn công nhắm vào người dùng smartphone trên toàn cầu. Đáng chú ý, số vụ tấn công bằng trojan trên thiết bị Android đã tăng từ 420.000 vụ năm 2023 lên 1.242.000 vụ vào năm 2024.
17:00 | 17/03/2025
