Lỗ hổng trong Outlook cho Android ảnh hưởng đến hơn 100 triệu người dùng


Microsoft mới đây đã phát hành phiên bản cập nhật của ứng dụng Outlook dành cho Android để vá lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2019-1105) ảnh hưởng đến hơn 100 triệu người dùng.



Tuy nhiên, vào thời điểm đó, rất ít chi tiết về lỗ hổng được
đề cập trong lời khuyên bảo mật, hé lộ rằng các phiên bản trước của ứng dụng Outlook
có khả năng cao chứa lỗ hổng cross-site scripting (XSS), có thể cho phép kẻ tấn
công chạy các tập lệnh trong ngữ cảnh của người dùng hiện tại chỉ bằng cách gửi
một email được chế tạo đặc biệt cho các nạn nhân.



Giờ đây, Bryan Appleby thuộc F5 Networks (một trong những nhà nghiên cứu bảo mật đã báo cáo vấn đề này một cách độc lập với Microsoft), đã công bố thêm chi tiết và PoC về lỗ hổng Outlook mà ông đã báo cáo cho gã khổng lồ công nghệ vào khoảng sáu tháng trước.



Phát hiện lỗ hổng XSS trong ứng dụng Outlook cho Android



Trong một bài đăng trên blog được xuất bản vào thứ Sáu, Appleby tiết lộ rằng trong khi trao đổi một số mã JavaScript với bạn bè của mình qua email, nhà nghiên cứu đã vô tình phát hiện ra vấn đề cross-site scripting (XSS) có thể cho phép kẻ tấn công nhúng iframe vào email.



Nói cách khác, lỗ hổng bảo mật nằm ở cách máy chủ email phân
tích các thực thể HTML trong các tin nhắn email.



Mặc dù JavaScript chạy bên trong iframe chỉ có thể truy cập
nội dung bên trong nó, nhưng Appleby nhận thấy rằng việc thực thi mã JavaScript
bên trong iframe được tiêm có thể cho phép kẻ tấn công đọc nội dung liên quan đến
ứng dụng trong ngữ cảnh người dùng Outlook đã đăng nhập, bao gồm cookie, mã token
và thậm chí một số nội dung của hộp thư đến email của họ.



Các hacker có thể khai thác lỗ hổng này thông qua việc gửi
Email có chứa Javascript. Máy chủ sẽ thoát khỏi và không thấy Javascript bởi vì
nó nằm trong iframe. Khi được gửi, mail client sẽ tự động hoàn tác việc thoát
và JavaScript chạy trên thiết bị khách. Như vậy, quá trình thực thi mã từ xa được
thực hiện hoàn tất.



Lỗ hổng cho phép hacker đánh cắp dữ liệu người dùng



Mã này có thể làm bất cứ điều gì kẻ tấn công mong muốn, bao
gồm cả việc đánh cắp thông tin và gửi dữ liệu ra ngoài. Các hacker có thể gửi
cho người dùng một email và chỉ cần người dùng đọc nó, chúng có thể đánh cắp nội
dung trong hộp thư đến của họ.



Appleby đã báo cáo phát hiện của mình cho Microsoft vào ngày
10 tháng 12 năm 2018 và phía công ty đã xác nhận lỗ hổng này vào ngày 26 tháng
3 năm 2019 sau khi ông chia sẻ một PoC phổ quát với “gã khổng lồ công nghệ”.



Microsoft chỉ vừa mới đưa ra bản sửa lỗi và vá lỗ hổng này vào ít ngày trước. Như vậy là khoảng 6 tháng kể từ khi lỗ hổng được báo cáo lần đầu tiên. Tuy nhiên may mắn là hiện tại công ty vẫn chưa phát hiện ra bất cứ hoạt động khai thác nào đối với lỗ hổng này trên thực tế. Một lần nữa, nếu thiết bị Android của bạn chưa được cập nhật tự động, bạn nên cập nhật ứng dụng Outlook của mình từ Cửa hàng Google Play theo cách thủ công càng sớm càng tốt để tránh khỏi những rủi ro bảo mật có thể xảy ra.



THN
The post Lỗ hổng trong Outlook cho Android ảnh hưởng đến hơn 100 triệu người dùng appeared first on SecurityDaily .