Theo các nhà nghiên cứu bảo mật, tin tặc có thể lợi dụng lỗ hổng trong hệ thống đăng nhập để lừa nạn nhân trao quyền truy cập hoàn toàn vào tài khoản trực tuyến của họ.
Theo đó, tin tặc có thể âm thầm tấn công và đánh cắp mã xác thực (mã token) mà các trang web và ứng dụng cấp cho người dùng để truy cập vào tài khoản trực tuyến. Mã xác thực thường được tạo bởi một ứng dụng hoặc trang web, giúp người dùng đăng nhập vào trang web hoặc dịch vụ của bên thứ ba mà không cần nhập mật khẩu trực tiếp.
Nghiên cứu mới nhất của công ty bảo mật CyberArk cho thấy hàng chục tên miền phụ chưa đăng ký được kết nối với một số ứng dụng do chính Microsoft tạo ra. Vì những ứng dụng này được phân loại rất đáng tin cậy, nên các tên miền phụ có thể bị lạm dụng để tạo mã thông báo truy cập tự động mà không cần sự đồng ý của người dùng. Khi có những tên miền phụ này, tin tặc sẽ lừa nạn nhân nhấp vào liên kết đặc biệt trong email hoặc trên web và đánh cắp mã xác thực.
Các nhà nghiên cứu cho biết, trong một số trường hợp, quá trình này có thể được thực hiện tự động, “không nhấp chuột” (zero-click) và không cần sự tương tác của người dùng.
Các nhà nghiên cứu đã đăng ký nhiều tên miền phụ để tìm ra những ứng dụng có nguy cơ bị tấn công và kịp thời ngăn chặn hành vi lạm dụng. Lỗ hổng bảo mật trong hệ thống đăng nhập được báo cáo cho Microsoft từ cuối tháng 10 và hãng đã khắc phục ba tuần sau đó.
Đây không phải là lần đầu Microsoft phải sửa lỗi trong hệ thống đăng nhập. Năm ngoái, hãng từng khắc phục một lỗ hổng tương tự, trong đó các nhà nghiên cứu phát hiện lỗ hổng có thể bị lạm dụng để thay đổi các bản ghi của tên miền phụ Microsoft được cấu hình không đúng và đánh cắp mã thông báo tài khoản Office.