-
09/04/2020
-
141
-
1.952 bài viết
Sai sót trong SDK của Microsoft 365 đe dọa hàng tỷ người dùng Android
Chỉ một cờ debug bị bỏ quên trong mã nguồn đã khiến nhiều ứng dụng Microsoft 365 trên Android đối mặt với nguy cơ bị chiếm đoạt token đăng nhập. Lỗ hổng, được các nhà nghiên cứu đặt tên là "FlagLeft", có thể ảnh hưởng đến hàng tỷ người dùng trên toàn cầu và cho phép ứng dụng độc hại trên cùng thiết bị truy cập các dịch vụ Microsoft dưới danh nghĩa người dùng mà không cần sự cho phép hay bất kỳ tương tác nào.
Theo báo cáo kỹ thuật, nguyên nhân của lỗ hổng bắt nguồn từ cờ debug setIsDebugMode(true) vô tình được giữ lại trong các phiên bản Android phát hành chính thức. Tham số này vốn chỉ được sử dụng trong quá trình kiểm thử, nhưng lại xuất hiện trong môi trường sản xuất, làm vô hiệu hóa cơ chế xác minh ứng dụng vốn được thiết kế để bảo đảm chỉ các ứng dụng Microsoft đáng tin cậy mới có thể yêu cầu token đăng nhập.
FlagLeft trở nên đặc biệt nguy hiểm do Microsoft 365 trên Android sử dụng cơ chế FOCI (Family of Client IDs) nhằm hỗ trợ đăng nhập một lần giữa các ứng dụng trong cùng hệ sinh thái. Cơ chế này cho phép các ứng dụng Microsoft 365 chia sẻ token xác thực để người dùng chỉ cần đăng nhập một lần khi sử dụng các dịch vụ như Word, Excel, PowerPoint hay OneNote. Tuy nhiên, khi lớp xác minh độ tin cậy bị vô hiệu hóa, một ứng dụng bên thứ ba cũng có thể yêu cầu và nhận token hợp lệ như một ứng dụng Microsoft chính hãng.
Các token bị lộ được đánh giá có mức độ rủi ro cao do có thể được làm mới và tiếp tục sử dụng trong thời gian dài. Kẻ tấn công có thể truy cập email, tệp OneDrive, lịch làm việc và nhiều dữ liệu khác liên kết với tài khoản Microsoft của người dùng. Do mọi yêu cầu đều được thực hiện bằng thông tin xác thực hợp lệ, hoạt động khai thác rất khó bị phân biệt với hành vi sử dụng thông thường, làm gia tăng đáng kể độ khó trong quá trình phát hiện và điều tra.
Theo các nhà nghiên cứu từ Enclave, FlagLeft không xuất hiện trên một ứng dụng đơn lẻ mà nằm trong một SDK dùng chung được triển khai trên nhiều sản phẩm của Microsoft. Điều này khiến cùng một sai sót đồng thời ảnh hưởng đến Microsoft Word, Excel, PowerPoint, OneNote, Loop và Microsoft 365 Copilot trên Android. Microsoft Teams là trường hợp ngoại lệ khi cờ debug đã được cấu hình chính xác trong phiên bản phát hành.
Trung tâm Phản hồi Bảo mật Microsoft (MSRC) đã xác nhận các phát hiện và phát hành bản vá cho toàn bộ ứng dụng bị ảnh hưởng. Microsoft cũng gán nhiều mã CVE cho các ứng dụng bị ảnh hưởng, trong đó CVE-2026-41101 trên Word và CVE-2026-41102 trên PowerPoint được đánh giá ở mức nghiêm trọng cao. Các bản cập nhật khắc phục hiện đã được phát hành thông qua Google Play. Microsoft khuyến nghị người dùng Android sớm cập nhật Word, Excel, PowerPoint, OneNote, Loop và Microsoft 365 Copilot lên phiên bản mới nhất. Đối với môi trường doanh nghiệp, các quản trị viên nên xác minh việc triển khai bản vá trên toàn bộ thiết bị được quản lý, đồng thời theo dõi các hoạt động OAuth bất thường để phát hiện dấu hiệu lạm dụng token nếu có.
Với tổng số lượt cài đặt của các ứng dụng bị ảnh hưởng lên tới hàng tỷ thiết bị Android trên toàn cầu, FlagLeft được đánh giá là một trong những sự cố kiểm soát truy cập đáng chú ý nhất liên quan đến hệ sinh thái Microsoft 365 trong thời gian gần đây. Vụ việc cũng cho thấy những rủi ro tiềm ẩn khi một thành phần dùng chung trong SDK gặp lỗi, bởi tác động có thể nhanh chóng lan rộng sang nhiều sản phẩm chỉ từ một sai sót cấu hình tưởng chừng rất nhỏ.