Lỗ hổng trong Outlook cho Android ảnh hưởng đến hơn 100 triệu người dùng

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Lỗ hổng trên ứng dụng Outlook cho Android

Microsoft mới đây đã phát hành phiên bản cập nhật của ứng dụng Outlook dành cho Android để vá lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2019-1105) ảnh hưởng đến hơn 100 triệu người dùng.

Tuy nhiên, vào thời điểm đó, rất ít chi tiết về lỗ hổng được đề cập trong lời khuyên bảo mật, hé lộ rằng các phiên bản trước của ứng dụng Outlook có khả năng cao chứa lỗ hổng cross-site scripting (XSS), có thể cho phép kẻ tấn công chạy các tập lệnh trong ngữ cảnh của người dùng hiện tại chỉ bằng cách gửi một email được chế tạo đặc biệt cho các nạn nhân.

Giờ đây, Bryan Appleby thuộc F5 Networks (một trong những nhà nghiên cứu bảo mật đã báo cáo vấn đề này một cách độc lập với Microsoft), đã công bố thêm chi tiết và PoC về lỗ hổng Outlook mà ông đã báo cáo cho gã khổng lồ công nghệ vào khoảng sáu tháng trước.

Phát hiện lỗ hổng XSS trong ứng dụng Outlook cho Android

Trong một bài đăng trên blog được xuất bản vào thứ Sáu, Appleby tiết lộ rằng trong khi trao đổi một số mã JavaScript với bạn bè của mình qua email, nhà nghiên cứu đã vô tình phát hiện ra vấn đề cross-site scripting (XSS) có thể cho phép kẻ tấn công nhúng iframe vào email.

Nói cách khác, lỗ hổng bảo mật nằm ở cách máy chủ email phân tích các thực thể HTML trong các tin nhắn email.

Mặc dù JavaScript chạy bên trong iframe chỉ có thể truy cập nội dung bên trong nó, nhưng Appleby nhận thấy rằng việc thực thi mã JavaScript bên trong iframe được tiêm có thể cho phép kẻ tấn công đọc nội dung liên quan đến ứng dụng trong ngữ cảnh người dùng Outlook đã đăng nhập, bao gồm cookie, mã token và thậm chí một số nội dung của hộp thư đến email của họ.

Các hacker có thể khai thác lỗ hổng này thông qua việc gửi Email có chứa Javascript. Máy chủ sẽ thoát khỏi và không thấy Javascript bởi vì nó nằm trong iframe. Khi được gửi, mail client sẽ tự động hoàn tác việc thoát và JavaScript chạy trên thiết bị khách. Như vậy, quá trình thực thi mã từ xa được thực hiện hoàn tất.

Lỗ hổng cho phép hacker đánh cắp dữ liệu người dùng

Mã này có thể làm bất cứ điều gì kẻ tấn công mong muốn, bao gồm cả việc đánh cắp thông tin và gửi dữ liệu ra ngoài. Các hacker có thể gửi cho người dùng một email và chỉ cần người dùng đọc nó, chúng có thể đánh cắp nội dung trong hộp thư đến của họ.

Appleby đã báo cáo phát hiện của mình cho Microsoft vào ngày 10 tháng 12 năm 2018 và phía công ty đã xác nhận lỗ hổng này vào ngày 26 tháng 3 năm 2019 sau khi ông chia sẻ một PoC phổ quát với “gã khổng lồ công nghệ”.

Microsoft chỉ vừa mới đưa ra bản sửa lỗi và vá lỗ hổng này vào ít ngày trước. Như vậy là khoảng 6 tháng kể từ khi lỗ hổng được báo cáo lần đầu tiên. Tuy nhiên may mắn là hiện tại công ty vẫn chưa phát hiện ra bất cứ hoạt động khai thác nào đối với lỗ hổng này trên thực tế. Một lần nữa, nếu thiết bị Android của bạn chưa được cập nhật tự động, bạn nên cập nhật ứng dụng Outlook của mình từ Cửa hàng Google Play theo cách thủ công càng sớm càng tốt để tránh khỏi những rủi ro bảo mật có thể xảy ra.

THN