Tuần qua, Microsoft đã phát hành bản cập nhật cho ứng dụng Outlook trên Android, khắc phục lỗ hổng thực thi mã từ xa nghiêm trọng CVE-2019-1105 ảnh hưởng đến hơn 100 triệu người dùng.
Tuy nhiên, tại thời điểm đó mới chỉ có thông tin sơ bộ về lỗ hổng XSS (cross-site scripting) này. Theo đó, lỗ hổng cho phép kẻ tấn công chạy các script trong ngữ cảnh người dùng hiện tại thông qua gửi một email độc hại tới các nạn nhân.
Hiện tại, chuyên gia Bryan Appleby (F5 Networks) – người đã thông báo tới Microsoft về lỗ hổng từ 6 tháng trước, đã công bố PoC và chi tiết lỗ hổng.
Appleby cho biết đã vô tình phát hiện lỗ hổng XSS này trong khi trao đổi một số mã JavaScript với bạn bè qua email. Lỗ hổng cho phép hacker nhúng iframe vào email. Nói cách khác, lỗ hổng tồn tại trong cách máy chủ email phân tích các đối tượng HTML trong các tin nhắn email.
Mặc dù JavaScript chạy bên trong iframe chỉ có thể truy cập nội dung bên trong đó, tuy nhiên, Appleby phát hiện rằng việc thực thi JavaScript trong iframe cho phép hacker đọc nội dung liên quan đến ứng dụng trong ngữ cảnh người dùng Outlook đã đăng nhập, bao gồm cookies, token và thậm chí một số nội dung trong hộp thư đến.
Ông cho biết, lỗ hổng cho phép “đánh cắp dữ liệu từ ứng dụng – tôi có thể lợi dụng lỗ hổng để đọc và trích xuất HTML”.
“Loại lỗ hổng này có thể bị hacker khai thác thông qua gửi email có chứa JavaScript. Máy chủ sẽ bỏ qua JavaScript đó bởi nó nằm trong iframe. Khi gửi đi, mail khách tự động hoàn tác việc thoát ra và JavaScript sẽ chạy trên thiết bị khách. Sau đó có thể thực thi mã từ xa”, Appleby giải thích.
“Đoạn mã đó có thể làm bất cứ điều gì kẻ tấn công mong muốn, như đánh cắp thông tin, gửi dữ liệu ra ngoài. Hacker có thể gửi email cho bạn và chỉ cần bạn đọc mail đó, hacker sẽ đánh cắp nội dung trong hộp thư đến của bạn”.
Appleby đã báo cáo phát hiện của mình tới Microsoft từ 10/12/2018 và hãng này đã xác nhận lỗ hổng hôm 26/3 năm nay.
Microsoft đã vá lỗ hổng và đưa ra bản cập nhật hôm 20/6, gần 6 tháng sau khi được thông báo. Hãng cho biết chưa phát hiện bất kỳ cuộc tấn công khai thác lỗ hổng nào trong thực tế.
Ngoài Appleby, các chuyên gia Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek (CyberArk) và Gaurav Kumar cũng đã báo cáo vấn đề tương tự với Microsoft vài tháng trở lại đây.
Người dùng lưu ý, nếu thiết bị Android của bạn chưa được cập nhật tự động, nãy update ứng dụng Outlook trên Google Play theo cách thủ công.
Theo The Hacker News