Không phải lỗ hổng, chính tính năng đã "mở cửa" cho kẻ tấn công

Sevastopol

Sevastopol

Moderator
Thành viên BQT
16/07/2025
0
2 bài viết
Không phải lỗ hổng, chính tính năng đã "mở cửa" cho kẻ tấn công
Sevastopol
Một kỹ thuật tấn công mới vừa được phát hiện, cho phép nhóm hacker PoisonSeed vượt qua cơ chế bảo vệ của khóa bảo mật FIDO vốn được xem là "tiêu chuẩn vàng" trong xác thực không mật khẩu và chống phishing hiện nay. Điểm đặc biệt của kỹ thuật này không nằm ở việc khai thác lỗ hổng trong giao thức FIDO mà ở cách mà kẻ tấn công lợi dụng tính năng hợp pháp: cơ chế đăng nhập liên thiết bị (cross-device sign-in).

1753079507535.png

Bản chất của cuộc tấn công​

Tính năng cross-device sign-in cho phép người dùng xác thực đăng nhập trên một thiết bị (ví dụ: máy tính để bàn) bằng cách sử dụng thiết bị khác (như điện thoại có chứa khóa FIDO). Đây là một phương thức tiện lợi, nhưng lại mở ra một điểm mù về bảo mật trong bối cảnh người dùng không thể trực tiếp xác minh tên miền đang yêu cầu xác thực.

Chuỗi tấn công được thực hiện như sau:
  1. Kẻ tấn công gửi email phishing, dụ người dùng truy cập vào một cổng đăng nhập giả mạo (ví dụ: giả mạo Okta).
  2. Người dùng nhập tên đăng nhập và mật khẩu vào trang giả mạo.
  3. Thông tin đăng nhập được chuyển tiếp ngầm đến trang đăng nhập thật.
  4. Trang đăng nhập thật phản hồi bằng cách sinh mã QR phục vụ xác thực liên thiết bị.
  5. Mã QR này được chuyển lại cho người dùng trên giao diện giả mạo.
  6. Khi người dùng quét mã QR bằng ứng dụng xác thực trên thiết bị di động, họ đã vô tình xác thực cho một phiên đăng nhập do kẻ tấn công khởi tạo, dẫn đến việc bị chiếm quyền truy cập tài khoản.
Về bản chất, người dùng đang xác thực một phiên đăng nhập không phải của mình, nhưng vẫn tin rằng quá trình này là hợp pháp.

1753079519842.png

Vì sao kỹ thuật này nguy hiểm?​

Đây là một ví dụ điển hình của kỹ thuật downgrade authentication, tức là hạ cấp quá trình xác thực xuống một hình thức dễ bị thao túng, dù công nghệ đang dùng là hiện đại và an toàn.

Điểm đáng chú ý:
  • Vượt qua được lớp bảo vệ FIDO dù không khai thác lỗ hổng kỹ thuật nào.
  • Lợi dụng tính năng hợp pháp nên gần như không bị hệ thống giám sát phát hiện.
  • Khi kết hợp với mô hình Adversary-in-the-Middle (AitM), tấn công càng khó phát hiện hơn.
  • Kẻ tấn công sau đó có thể gán khóa FIDO của chính mình vào tài khoản nạn nhân, vô hiệu hóa khả năng khôi phục của người dùng thật.
Tính đến thời điểm hiện tại, chưa có ghi nhận cụ thể nào về các tổ chức hoặc người dùng tại Việt Nam trở thành nạn nhân trong chiến dịch này. Tuy nhiên, nhóm tấn công PoisonSeed đã triển khai kỹ thuật này trên quy mô toàn cầu, tận dụng các nền tảng CRM và hệ thống email hàng loạt để phát tán liên kết phishing chứa mã QR độc hại.

Do đó, các tổ chức tại Việt Nam, đặc biệt là những doanh nghiệp sử dụng nền tảng như Okta, Google Workspace, Microsoft 365 hoặc có triển khai khóa FIDO cần chủ động theo dõi và đánh giá rủi ro.

Chuyên gia an ninh mạng cho các tổ chức, doanh nghiệp cần lưu ý thêm:
  1. Không chỉ triển khai FIDO mà còn cần đảm bảo cấu hình đúng domain xác thực để tránh xác thực nhầm.
  2. Hạn chế hoặc vô hiệu hóa đăng nhập liên thiết bị nếu không cần thiết, đặc biệt trên các tài khoản nhạy cảm.
  3. Đào tạo người dùng nhận diện kỹ thuật phishing qua mã QR và email giả mạo kèm hướng dẫn xác thực.
  4. Thiết lập cảnh báo khi có thiết bị xác thực mới (FIDO key) được thêm vào tài khoản.
  5. Bảo vệ toàn bộ vòng đời tài khoản, bao gồm cả giai đoạn khôi phục mật khẩu vốn là điểm yếu phổ biến.
Góc nhìn của chuyên gia WhiteHat: Kỹ thuật tấn công này một lần nữa cho thấy nguy cơ bảo mật không chỉ đến từ các lỗ hổng phần mềm mà còn nằm ở cách chúng ta thiết kế và sử dụng các tính năng tưởng chừng "vô hại" trong hệ thống. Việc một chức năng như đăng nhập liên thiết bị vốn sinh ra để hỗ trợ người dùng thuận tiện hơn lại bị lợi dụng để vượt qua cả FIDO key là lời cảnh tỉnh rất rõ ràng.

Với những người làm bảo mật, đây lời nhắc cần nhìn nhận lại toàn bộ kiến trúc xác thực, đặc biệt là cách mà người dùng tương tác với nó trong đời thực. Một hệ thống mạnh đến đâu cũng có thể bị đánh bại nếu người dùng xác thực sai phiên đăng nhập hoặc nếu chính các tính năng hỗ trợ lại trở thành "kẽ hở".

Giám sát hành vi, phản ứng nhanh với bất thường và đặt câu hỏi cho từng tính năng được mở ra cho người dùng, đó là công việc không bao giờ được xem nhẹ.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • CVE-2025-32463: Khai thác lỗi Sudo -R để leo thang đặc quyền root trên Linux
  • Phân tích về lỗ hổng CVE-2023-23397 trong Microsoft Outlook
  • Hướng dẫn khai thác lỗ hổng thực thi mã từ xa trong Microsoft Office (CVE-2022-30190)
  • Phân tích lỗ hổng RCE trong các dịch vụ WSO2 (CVE-2022-29464)
  • Hướng dẫn khai thác lỗ hổng Spring4Shell sử dụng Metasploit
  • Thử tay nghề với CTF boot2root. Tại sao không?
    • Thẻ
    adversary-in-the-middle bảo mật danh tính bảo mật xác thực fido key kỹ thuật downgrade authentication lạm dụng tính năng hợp pháp phishing qua mã qr tấn công chiếm quyền tài khoản xác thực không mật khẩu đăng nhập liên thiết bị
    Bên trên