Hệ thống đăng nhập của Microsoft có lỗi cho phép hacker chiếm quyền kiểm soát bất cứ tài khoản Office nào

Hệ thống đăng nhập của Microsoft có lỗi cho phép hacker chiếm quyền kiểm soát bất cứ tài khoản Office nào
Theo: Chíp Theo Trí Thức Trẻ
Thể loại: Thủ Thuật Chương Trình
Một loạt lỗi trong hệ thống đăng nhập của Microsoft mà khi kết hợp lại với nhau có thể tạo ra phương thức tấn công hoàn chỉnh cho phép hacker quyền truy cập vào tài khoản Microsoft của bất cứ ai nếu lừa được họ nhấp vào một liên kết.

Sahad Nk, một chuyên gia săn lỗi tại Ấn Độ, đã phát hiện ra một tên miền phụ của Microsoft, "success.office.com", không được thiết lập theo tiêu chuẩn cần thiết. Vì thế, Nk đã tìm ra cách chiếm được tên miền này.

Tiếp theo Nk dùng một bản ghi CNAME, một bản ghi chính tắc được dùng để liên kết một tên miền với tên miền khác, nhằm trỏ tên miền "success.office.com" vào trường Azure của anh ta. Điều này giúp Nk kiểm soát tên miền phụ và bất kỳ dữ liệu nào được gửi tới nó.

Hệ thống đăng nhập của Microsoft có lỗi cho phép hacker chiếm quyền kiểm soát bất cứ tài khoản Office nào - Ảnh 1.

Nk cũng nhận thấy rằng các ứng dụng Microsoft Office, Store và Sway có thể bị lừa để gửi mã thông báo xác thực đăng nhập tới tên miền mới do anh kiểm soát sau khi người dùng đăng nhập qua hệ thống đăng nhập Live của Microsoft. Kiểm soát mã xác thực đăng nhập tương đương với việc có trong tay thông tin đăng nhập tài khoản của ai đó, bao gồm cả các tài khoản xác thực hai yếu tố, và cho phép kẻ xấu xâm nhập vào tài khoản của người dùng một cách dễ dàng, không hề bị phát hiện. Lỗ hổng tương tự cũng đã khiến 30 triệu tài khoản Facebook bị rò rỉ vào đầu năm nay.

Tuy nhiên, đường link nguy hiểm được tạo theo cách chỉ thị cho hệ thống đăng nhập của Microsoft chuyển mã đăng nhập tài khoản sang tên miền phụ do Nk kiểm soát có thể gây nguy hiểm cho vô số tài khoản. Tồi tệ hơn, đường link nguy hiểm này lại có vẻ xác thực bởi người dùng vẫn đang đăng nhập thông qua hệ thống của Microsoft.

Nói cách khác, bất kỳ tài khoản Office nào, kể cả của doanh nghiệp/doanh nhân, trong đó bao gồm email, tài liệu của họ đều có thể bị kẻ xấu truy cập và gần như không thể truy ra thủ phạm.

Nk, với sự giúp đõ của Paulos Yibelo, đã báo cáo lỗ hổng này với Microsoft để họ khắc phục nó.

"Microsoft Security Response Center đã tiếp nhận và xử lý vụ việc này vào tháng 11/2018", phát ngôn viên của Microsoft xác nhận. Lỗi này được xử lý bằng cách xóa bản ghi CNAME trỏ đến trường Azure của Nk.

Microsoft cũng đã thưởng cho Nk vì phát hiện này nhưng không rõ mức thưởng là bao nhiêu.

Cách kích hoạt và làm chủ tính năng tự động dọn dẹp trên Windows 10 May 2019

tinybook tinybook 1 tháng 2 tuần
Cách kích hoạt và làm chủ tính năng tự động dọn dẹp trên Windows 10 May 2019
Tùy chọn mới giúp người dùng làm chủ các cài đặt liên quan đến dọn dẹp tự động được bổ sung trong Windows 10 May 2019.

Facebook cho phép người dùng chèn nhạc vào video trước khi đăng, và đây là cách sử dụng

tinybook tinybook 1 tháng 2 tuần
Facebook cho phép người dùng chèn nhạc vào video trước khi đăng, và đây là cách sử dụng
Thêm một tính năng mới khá hay ho mà Facebook vừa cập nhật đến người dùng.

Cách kích hoạt và sử dụng Windows Sandbox trên Windows 10 May 2019

tinybook tinybook 1 tháng 2 tuần
Cách kích hoạt và sử dụng Windows Sandbox trên Windows 10 May 2019
Windows Sandbox là một trong số những tính năng được cải tiến đáng kể ở Windows 10 May 2019, và đây là cách để kích hoạt nó.

Cách sử dụng SetupDiag để chuẩn đoán và khắc phục lỗi cập nhật trên Windows 10

tinybook tinybook 1 tháng 2 tuần
Cách sử dụng SetupDiag để chuẩn đoán và khắc phục lỗi cập nhật trên Windows 10
Nếu bạn không thể cập nhật Windows 10 lên phiên bản mới, hãy thử SetupDiag mà Microsoft tích hợp sẳn trên hệ điều hành.

Gợi ý khắc phục lỗi không thể gửi được tin nhắn iMessage trên iPhone

tinybook tinybook 1 tháng 3 tuần
Gợi ý khắc phục lỗi không thể gửi được tin nhắn iMessage trên iPhone
Dùng iPhone mà không sử dụng iMessage thì quả là một thiếu sót.

Những việc cần làm trước khi quyết định nâng cấp lên Windows 10 May 2019

tinybook tinybook 1 tháng 3 tuần
Những việc cần làm trước khi quyết định nâng cấp lên Windows 10 May 2019
Cần chuẩn bị gì trước khi nâng cấp lên Windows 10 May 2019?

Bạn sẽ không cần cài thêm bộ gõ tiếng Việt trên Windows 10 May 2019 làm gì nữa vì nó đã có sẳn

tinybook tinybook 1 tháng 3 tuần
Bạn sẽ không cần cài thêm bộ gõ tiếng Việt trên Windows 10 May 2019 làm gì nữa vì nó đã có sẳn
Windows 10 May 2019 chính thức hỗ trợ bộ gõ tiếng Việt, và đây là cách kích hoạt nó.

Cách kích hoạt tính năng bài hát yêu thích trên trang Facebook cá nhân

tinybook tinybook 1 tháng 3 tuần
Cách kích hoạt tính năng bài hát yêu thích trên trang Facebook cá nhân
Tính năng mới được Facebook thêm vào để người dùng tô điểm thêm nét sống động cho trang cá nhân của họ.

Trải nghiệm Windows 10 May 2019: Giao diện Light mới, hỗ trợ kiểu bàn phím Telex và nhiều thứ hay ho khác

tinybook tinybook 1 tháng 3 tuần
Trải nghiệm Windows 10 May 2019: Giao diện Light mới, hỗ trợ kiểu bàn phím Telex và nhiều thứ hay ho khác
Windows 10 May 2019 đã chính thức được phát hành, và nó rất đáng để bạn quan tâm.

Windows 10 May 2019 đã được phát hành, và đây là những cách tải về chính thống bạn nên biết

tinybook tinybook 1 tháng 3 tuần
Windows 10 May 2019 đã được phát hành, và đây là những cách tải về chính thống bạn nên biết
Nếu bạn vẫn chưa biết cách làm thế nào để tải về và cài đặt Windows 10 May 2019 thì hãy xem bài viết này.

FlexTime là ứng dụng cho bạn lên mặt bằng cách giả vờ chat video với người nổi tiếng

tinybook tinybook 1 tháng 1 tuần
FlexTime là ứng dụng cho bạn lên mặt bằng cách giả vờ chat video với người nổi tiếng
Tất cả chỉ là giả vờ, nhưng cũng đủ để bạn 'lên mặt' với bạn bè!

238 ứng dụng với 440 triệu lượt cài đặt bị phát hiện chứa mã độc làm tê liệt smartphone Android

tinybook tinybook 1 tháng 2 tuần
238 ứng dụng với 440 triệu lượt cài đặt bị phát hiện chứa mã độc làm tê liệt smartphone Android
Bằng một cách nào đó các ứng dụng này đã vượt qua hàng rào kiểm duyệt Google Play Protect để xuất hiện trên Play Store.

Apple đưa tính năng vuốt ngón tay trên bàn phím để nhập văn bản lên iOS 13

tinybook tinybook 1 tháng 2 tuần
Apple đưa tính năng vuốt ngón tay trên bàn phím để nhập văn bản lên iOS 13
Nếu đã dùng ứng dụng bàn phím SwiftKey, có lẽ bạn sẽ không lạ gì với tính năng có tên QuickPath của Apple.

iOS 13 sẽ cho phép bạn xoay video đã quay mà không cần ứng dụng ngoài

tinybook tinybook 1 tháng 2 tuần
iOS 13 sẽ cho phép bạn xoay video đã quay mà không cần ứng dụng ngoài
Không cần tới iMoive hay các ứng dụng của bên thứ 3.

Apple thắt chặt các quy tắc kiểm duyệt đối với chứng nhận ứng dụng doanh nghiệp

tinybook tinybook 1 tháng 2 tuần
Apple thắt chặt các quy tắc kiểm duyệt đối với chứng nhận ứng dụng doanh nghiệp
Apple sẽ nắm quyền đánh giá bất kỳ ứng dụng náo được phát triển để sử dụng trong nội bộ.

watchOS 6 ra mắt với tính năng theo dõi kinh nguyệt, watchface mới, App Store riêng và một loạt cải tiến về sức khỏe

tinybook tinybook 1 tháng 2 tuần
watchOS 6 ra mắt với tính năng theo dõi kinh nguyệt, watchface mới, App Store riêng và một loạt cải tiến về sức khỏe
Tính năng đáng chú ý nhất của watchOS 6 có lẽ là khả năng theo dõi chu kỳ kinh nguyệt của chị em phụ nữ.

Microsoft ngừng hỗ trợ các ứng dụng Office cho thiết bị Android cũ

tinybook tinybook 1 tháng 2 tuần
Microsoft ngừng hỗ trợ các ứng dụng Office cho thiết bị Android cũ
Từ tháng 7 năm nay, một số ứng dụng Office cho Android sẽ ngừng hoạt động trên các thiết bị chạy Android cũ.

Gmail sắp cho phép hẹn giờ xóa mail, chặn người nhận chuyển tiếp mail chứa thông tin nhạy cảm

tinybook tinybook 1 tháng 2 tuần
Gmail sắp cho phép hẹn giờ xóa mail, chặn người nhận chuyển tiếp mail chứa thông tin nhạy cảm
Tháng 6 tới, người dùng Gmail sẽ được tận hưởng một loạt tính năng bảo mật mới.

Giới lập trình viên Trung Quốc lo sợ mất kho lưu trữ nguồn mở GitHub vì chiến tranh thương mại

tinybook tinybook 1 tháng 2 tuần
Giới lập trình viên Trung Quốc lo sợ mất kho lưu trữ nguồn mở GitHub vì chiến tranh thương mại
Ngoài việc gây ảnh hưởng nghiêm trọng đến công việc kinh doanh của Huawei, giới phát triển phần mềm Trung Quốc đang nháo nhác lo ngại chiến tranh thương mại Mỹ - Trung sớm muộn cũng sẽ tìm đến họ.

Google chặn không cho trình duyệt Edge mới của Microsoft truy cập thiết kế mới của YouTube

tinybook tinybook 1 tháng 3 tuần
Google chặn không cho trình duyệt Edge mới của Microsoft truy cập thiết kế mới của YouTube
Một "sự cố đáng tiếc" khác của Google đang gây ảnh hưởng tiêu cực đến một trình duyệt web đối thủ; lần này kẻ xấu số là trình duyệt Microsoft Edge dựa trên nhân Chromium.

Hết nhận dạng khuôn mặt gà, Trung Quốc lại tạo ứng dụng nhận dạng khuôn mặt gấu trúc

tinybook tinybook 1 tháng 3 tuần
Hết nhận dạng khuôn mặt gà, Trung Quốc lại tạo ứng dụng nhận dạng khuôn mặt gấu trúc
Ứng dụng sẽ trích dữ liệu từ hơn 120.000 bức ảnh và 10.000 video về loài gấu trúc khổng lồ để phục vụ việc nhận dạng.

Samsung phát triển công nghệ deepfake biến tranh chân dung cổ điển thành ảnh động cười toe toét

tinybook tinybook 1 tháng 3 tuần
Samsung phát triển công nghệ deepfake biến tranh chân dung cổ điển thành ảnh động cười toe toét
Thông thường để tạo ra các video deepfake, bạn cần rất nhiều dữ liệu, lý tưởng nhất là sử dụng hàng loạt clip về một người cụ thể. Nhưng các nhà nghiên cứu của Samsung chỉ cần dùng một vài bức ảnh tĩnh là xong!

Trung Quốc đã nhiều lần tự phát triển hệ điều hành nhưng đều thất bại, liệu Huawei có làm nên kỳ tích?

tinybook tinybook 1 tháng 3 tuần
Trung Quốc đã nhiều lần tự phát triển hệ điều hành nhưng đều thất bại, liệu Huawei có làm nên kỳ tích?
Nhiều thông tin cho rằng hệ điều hành di động thay thế cho Android của Huawei sẽ ra mắt ngay trong năm nay.

Với 900.000 ứng dụng, Aptoide sẽ được Huawei dùng để thay thế cho Google Play Store?

tinybook tinybook 1 tháng 4 tuần
Với 900.000 ứng dụng, Aptoide sẽ được Huawei dùng để thay thế cho Google Play Store?
Đích thân CEO của Aptoide xác nhận rằng họ đang nhận được sự quan tâm từ phía Huawei.

Có thể tải về miễn phí The Sims 4 trên cả Mac lẫn Windows, hạn cuối 28/5

tinybook tinybook 1 tháng 4 tuần
Có thể tải về miễn phí The Sims 4 trên cả Mac lẫn Windows, hạn cuối 28/5
Tin rất vui cho fan (xịn) của The Sims, tựa game phi tuyến tính, vĩnh viễn không có kết thúc này đã được phép tải về miễn phí, cho cả Mac lẫn Windows - miễn là trước ngày 28/5

Mẹo chia sẻ nhanh dữ liệu ngay từ File Explorer trên Windows 10

tinybook tinybook 2 tháng 17 giờ
Mẹo chia sẻ nhanh dữ liệu ngay từ File Explorer trên Windows 10
Khám phá 4 lựa chọn chia sẻ nhanh dữ liệu từ File Explorer trên Windows 10.

Để Laptop chơi game mượt hơn, hãy thử làm 10 điều này

tinybook tinybook 2 tháng 18 giờ
Để Laptop chơi game mượt hơn, hãy thử làm 10 điều này
Bạn vẫn còn dùng laptop để “chiến” game? Đây là 10 gợi ý tối ưu dành cho bạn

Dọn dẹp Windows 10 tốt hơn với 03 gợi ý phần mềm chính chủ từ các hãng bảo mật nổi tiếng

tinybook tinybook 2 tháng 19 giờ
Dọn dẹp Windows 10 tốt hơn với 03 gợi ý phần mềm chính chủ từ các hãng bảo mật nổi tiếng
Ngoài phần mềm antivirus, các hãng bảo mật cũng không quên chăm sóc về khoảng dọn dẹp cho Windows.

Minecraft trở thành trò chơi bán chạy nhất trong lịch sử với 176 triệu bản

tinybook tinybook 1 tháng 4 tuần
Minecraft trở thành trò chơi bán chạy nhất trong lịch sử với 176 triệu bản
Microsoft đã công bố cột mốc quan trọng này nhân dịp kỷ niệm sinh nhật lần thứ 10 của Minecraft.

Microsoft lại thừa nhận làm ăn cẩu thả khiến máy tính người dùng treo cứng sau khi cập nhật

tinybook tinybook 1 tháng 4 tuần
Microsoft lại thừa nhận làm ăn cẩu thả khiến máy tính người dùng treo cứng sau khi cập nhật
Windows Update vẫn luôn là vấn đề muôn thưở trên hệ điều hành Windows.'
tinybook Công Nghệ Thông Tin








Chat