Máy chủ Microsoft gặp lỗi, thông tin của 65.000 khách hàng bị lộ
Microsoft thông báo rằng một máy chủ của họ đã bị cấu hình sai dẫn tới việc có thể bị xâm nhập.
Mới đây, Microsoft thông báo một máy chủ của họ đã bị cấu hình sai dẫn tới việc có thể bị xâm nhập. Sai lầm có phần ngớ ngẩn này còn khiến một số thông tin nhạy cảm của khách hàng bị lộ.
Ngay sau khi nhận được thông báo về vụ rò rỉ vào ngày 24/9/2022 bởi các nhà nghiên cứu bảo mật tại công ty SOCRadar, Microsoft đã tiến hành các giải pháp bảo vệ cho máy chủ nói trên.
“Việc cấu hình sai dẫn tới hệ quả là bất cứ ai cũng có thể truy cập (không cần xác thực) vào các dữ liệu giao dịch kinh doanh tương ứng với các tương tác giữa Microsoft và khách hàng tiềm năng, chẳng hạn như việc lập kế hoạch hoặc triển khai tiềm năng và cung cấp các dịch vụ của Microsoft”, Microsoft cho biết.
“Cuộc điều tra của chúng tôi không tìm thấy dấu hiệu nào cho thấy tài khoản hoặc hệ thống của khách hàng đã bị xâm phạm. Chúng tôi đã thông báo trực tiếp cho các khách hàng bị ảnh hưởng”.
Theo Microsoft, các thông tin đã bị lộ bao gồm tên, địa chỉ email, nội dung email, tên công ty và số điện thoại cũng như các file có liên quan tới hoạt động kinh doanh giữa khách hàng và Microsoft.
Video đang HOT
Gã khổng lồ phần mềm chia sẻ thêm vụ rò rỉ này xuất phát từ việc “vô ý cấu hình sai trên một endpoint không được sử dụng trong hệ sinh thái Microsoft” chứ không phải do lỗ hổng bảo mật.
Dữ liệu bị rò rỉ được cho là có liên quan tới 65.000 khách hàng trên toàn thế giới. Theo SOCRadar, dữ liệu lưu trữ trong các file từ năm 2017 tới tháng 8/2022 có chứa thông tin nhạy cảm của các khách hàng từ 111 quốc gia trên toàn cầu.
Microsoft nói dối người dùng suốt 3 năm qua
Microsoft đã không thể ngăn chặn các driver độc hại xâm nhập vào các máy tính chạy Windows trong suốt 3 năm qua.
Tính năng bảo mật trên Windows không hoạt động hiệu quả như nhiều người vẫn nghĩ. Ảnh: Ars Technica.
Theo Ars Technica, hãng công nghệ khẳng định rằng mỗi bản cập nhật Windows đều được bổ sung danh sách các phần mềm ác ý để người dùng không tải nhầm. Nhưng trên thực tế, chúng vẫn có kẽ hở, khiến các mã độc dễ dàng xâm nhập vào máy tính.
Ars Technica cho biết lỗ hổng này sẽ khiến người dùng trở thành nạn nhân của hình thức tấn công có tên là BYOVD (Bring your own vulnerable driver), xâm nhập vào các hệ thống bằng cách cài đặt những driver độc hại vào máy tính người dùng.
Driver vốn là những tệp tin được hệ điều hành sử dụng để truyền dữ liệu cho các thiết bị ngoại vi như máy in, card đồ họa hay webcam. Vì thế, chúng có khả năng truy cập vào phần lõi của hệ điều hành (kernel). Một khi những driver này xuất hiện lỗ hổng bảo mật, hacker sẽ có thể lợi dụng điều này, sau đó chiếm quyền truy cập và kiểm soát toàn bộ hệ thống Windows.
Theo Ars Technica, Microsoft hiện sử dụng tính năng bảo mật của máy chủ Hypervisor-Enforced Code Integrity (HVCI), giúp bảo vệ thiết bị không bị các driver độc hại xâm nhập. Hãng công nghệ cho biết tính năng này đã được bật mặc định trên một vài thiết bị chạy Windows. Tuy nhiên, Will Dormann, chuyên gia của công ty an ninh mạng Analygence, lại cho rằng HVCI không hề có lớp bảo mật nhằm ngăn chặn những phần mềm ác ý này.
Trước đó, trong một bài viết đăng tải trên Twitter hồi tháng 9, Dormann cho biết ông đã tải thành công về máy một driver độc hại có tên là WinRing0 dù thiết bị đã bật HVCI và driver này nằm trong danh sách chặn tải về của Microsoft.
Chuyên gia vẫn có thể tải về driver độc hại WinRing0 dù nó bị Microsoft liệt vào danh sách cấm tải. Ảnh: Will Dormann.
Sau đó, chuyên gia đã phát hiện rằng danh sách của hãng công nghệ đã không được cập nhật trong suốt 3 năm và tính năng Giảm thiểu tấn công bề mặt (attack surface reduction) cũng không bảo vệ máy tính như hãng đã cam kết. Điều này đồng nghĩa với việc mọi thiết bị dù bật HVCI đã bị Microsoft lừa và vẫn có nguy cơ bị xâm nhập trong suốt 3 năm qua.
Là một lỗ hổng bảo mật nghiêm trọng nhưng Microsoft chỉ mới phát hiện vấn đề này vào đầu tháng 10. Jeffery Sutherland, Giám đốc dự án của Microsoft, thừa nhận đã có vấn đề xảy ra với quy trình cập nhật driver bị chặn trên máy tính Windows.
Do đó, hãng công nghệ đã cập nhật các tài liệu trực tuyến cùng với tệp tin tải về và hướng dẫn để cập nhật vào phiên bản binary hiện tại trên máy tính người dùng, ông bình luận bên dưới bài đăng của Dormann. "Chúng tôi đang sửa lỗi hệ thống dịch vụ, khiến người dùng không thể nhận được đầy đủ bản cập nhật", đại diện Microsoft nói thêm.
Tuy nhiên, theo The Verge, hiện Microsoft đã đính kèm các hướng dẫn giúp người dùng tự cập nhật danh sách các driver đáng ngờ nhưng vẫn chưa thể tự bổ sung trong các phiên bản hệ điều hành mới.
Tính năng bảo mật của Microsoft đã không hoạt động như cam kết, khiến người dùng dễ dính vào các vụ tấn công mã độc. Ảnh: The Verge.
Theo Ars Technica, nhiều vụ tấn công đã được thực hiện theo hình thức BYOVD. Hồi tháng 8, một nhóm tin tặc đã cài đặt mã độc BlackByte vào driver MSI AfterBurner dùng để ép xung GPU, tăng hiệu suất cho máy tính. Một nhóm hacker khác còn lợi dụng lỗ hổng trong driver chống hack của Genshin Impact để tắt những tác vụ máy đang vận hành, bao gồm cả antivirus.
Bên cạnh đó, vào năm 2021, nhóm tin tặc Lazarus được Triều Tiên hậu thuẫn cũng sử dụng hình thức BYOVD để tấn công nhân viên hàng không ở Hà Lan và nhà báo ở Bỉ nhưng vụ việc này chỉ mới được phát hiện gần đây.
Microsoft đặt quảng cáo trong Windows 11 Microsoft bắt đầu thử nghiệm hiển thị quảng cáo trên Windows 11, nhưng vấp phải phản ứng tiêu cực của nhiều khách hàng. Microsoft đã thử nghiệm chạy quảng cáo cho một số sản phẩm trong ứng dụng File Explorer trên Windows 11. Chuyên gia Microsoft Florian Beaubois đã phát hiện ra một quảng cáo cho phần mềm Microsoft Editor trong bản dựng...
