Phát hiện Microsoft Authenticator có lỗ hổng thiết kế, khiến tài khoản người dùng có thể bị ghi đè hoặc bị khóa.
Vn-Z.vn Ngày 07 tháng 08 năm 2024, Theo báo cáo từ CSO News ứng dụng xác thực danh tính Microsoft Authenticator của Microsoft có lỗ hổng thiết kế. Lỗ hổng này dẫn đến việc ghi đè nhiều yếu tố xác thực (MFA) làm cho tài khoản bị khóa.
Microsoft Authenticator gặp vấn đề về việc sử dụng trường dữ liệu. Khi người dùng quét mã QR để thêm tài khoản mới, ứng dụng thường ghi đè lên tài khoản trước đó, dẫn đến việc tài khoản bị khóa.
Thông thường, người dùng ít khi liên hệ trực tiếp với ứng dụng Authenticator mà thay vào đó, họ thường đổ lỗi cho trang web hoặc dịch vụ đang sử dụng Authenticator để xác thực.
Vấn đề cốt lõi là Microsoft Authenticator sử dụng cùng một tên người dùng để ghi đè tài khoản.
Vì tên người dùng thường được sử dụng dưới dạng địa chỉ email, hầu hết các ứng dụng của người dùng đều có cùng một tên người dùng. Các ứng dụng xác thực khác như Google Authenticator thường thêm thông tin như ngân hàng hoặc công ty ô tô để tránh vấn đề này, trong khi Microsoft Authenticator chỉ sử dụng trường tên người dùng.
Điều tệ hơn nữa là sau khi tài khoản bị ghi đè, hệ thống rất khó xác định tài khoản nào đã bị ghi đè, điều này có thể dẫn đến vấn đề xác thực cho cả tài khoản mới và tài khoản bị ghi đè.
Người dùng có thể chỉ phát hiện ra vấn đề này vài tuần hoặc vài tháng sau khi cố gắng sử dụng tài khoản đã tạo trước đó, và lúc đó tài khoản này có thể đã bị vô hiệu hóa.
CSO News cho biết Vấn đề này đã thu hút sự chú ý gần đây khi Brett Randall, một tư vấn viên IT người Úc, đăng bài viết về nó trên LinkedIn.
Trong bài viết của mình, Randall mô tả việc tham gia vào một buổi đào tạo của nhà cung cấp: "Khi chúng tôi đăng nhập vào hệ thống của họ, chúng tôi được yêu cầu quét mã QR để kích hoạt MFA. Một số người tham gia đã mở Microsoft Authenticator, quét mã QR và ngay lập tức ghi đè khóa TOTP (mật khẩu một lần dựa trên thời gian) của một ứng dụng khác," Randall viết.
"Đây là cách nó nên hoạt động và cách mọi ứng dụng xác thực khác — Google, Okta, v.v. — hoạt động. Khi bạn quét mã QR cho MFA, nó sẽ tạo ra một chuỗi các giá trị. Các ứng dụng khác sẽ lấy hai giá trị trong số này — nhãn và nhà phát hành — và kết hợp chúng lại để tạo thành ID duy nhất cho khóa đó. Trong khi đó, Microsoft lại bỏ qua tiêu chuẩn này và chỉ lấy một giá trị — nhãn. Và đó thường là địa chỉ email của bạn. Điều này có nghĩa là Microsoft Authenticator sẽ ghi đè khóa TOTP cuối cùng sử dụng cùng địa chỉ email. Điều này có thể gây ra hậu quả nghiêm trọng."
Anh ấy nói thêm: "Nhìn thấy cả một phòng đầy người mất quyền truy cập vào các hệ thống khác khi họ lần lượt quét mã QR và Microsoft Authenticator ghi đè các khóa của họ vào các hệ thống khác thật đau đớn. Nhưng việc cố gắng khiến Microsoft nhận ra vấn đề và làm gì đó về nó? Đó gần như là điều không thể."
Microsoft đổ lỗi cho người dùng và nhà cung cấp
Microsoft đã xác nhận vấn đề nhưng cho rằng đó là một tính năng chứ không phải lỗi, và lỗi thuộc về người dùng hoặc các công ty sử dụng ứng dụng để xác thực.
Microsoft đã phát hành hai tuyên bố bằng văn bản cho CSO Online nhưng từ chối phỏng vấn. Tuyên bố đầu tiên của Microsoft viết: “Chúng tôi có thể xác nhận rằng ứng dụng xác thực của chúng tôi đang hoạt động đúng như mong muốn. Khi người dùng quét mã QR, họ sẽ nhận được thông báo yêu cầu xác nhận trước khi tiếp tục với bất kỳ hành động nào có thể ghi đè cài đặt tài khoản của họ. Điều này đảm bảo rằng người dùng hoàn toàn nhận thức được những thay đổi mà họ đang thực hiện.”
Một vấn đề với tuyên bố đầu tiên này là nó không phản ánh đúng thông điệp thông báo. Thông báo viết: “Hành động này sẽ ghi đè thông tin bảo mật hiện có cho tài khoản của bạn. Để ngăn chặn việc bị khóa tài khoản, chỉ tiếp tục nếu bạn đã khởi động hành động này từ một nguồn đáng tin cậy.”
Câu đầu tiên của cửa sổ cảnh báo là chính xác, rằng hành động này sẽ thực sự ghi đè tài khoản. Nhưng câu thứ hai không đúng khi hướng dẫn người dùng tiếp tục nếu hai điều kiện được đáp ứng: rằng người dùng đã khởi động hành động; và đó là nguồn đáng tin cậy. Trong hầu hết các tình huống liên quan, cả hai điều kiện đều áp dụng. Người dùng thực sự đã khởi động hành động (không phải là kẻ trộm mạng cố gắng đột nhập) và trang web (chẳng hạn như ngân hàng hoặc khách sạn) là đáng tin cậy.
Do đó, một người dùng tuân theo những hướng dẫn đó sẽ tiếp tục và ghi đè tài khoản. Cũng cần lưu ý rằng thông báo không cung cấp phương tiện nào để không ghi đè tài khoản, ngoại trừ việc từ bỏ toàn bộ nỗ lực xác thực. Người dùng tuân theo hướng dẫn sẽ trải nghiệm việc ghi đè vấn đề.
Vài ngày sau phản hồi ban đầu, Microsoft đã gửi một tuyên bố khác mà không cần yêu cầu. Tuyên bố thứ hai dài hơn nhiều, đổ lỗi cho các nhà cung cấp:
“Khi bạn quét mã QR, ứng dụng Authenticator sử dụng một nhãn do nhà cung cấp cung cấp để thiết lập tài khoản TOTP (Mật khẩu một lần dựa trên thời gian) của bạn. Tuy nhiên, một số trang web hoặc nhà cung cấp không bao gồm nhà cung cấp — tên trang web hoặc tên nhà cung cấp nhận dạng — trong nhãn. Điều này có thể dẫn đến tình huống người dùng có thể đã có tài khoản với cùng một nhãn và ứng dụng cố gắng ghi đè tài khoản TOTP hiện có bằng cái mới mà họ đang quét. Trong những tình huống mà người dùng đã có tài khoản với cùng một nhãn, người dùng luôn được trình bày với một thông báo yêu cầu xác nhận ghi đè tài khoản TOTP hiện có trong ứng dụng của họ và có thể đưa ra quyết định có ý thức để tiếp tục hay không. Chúng tôi luôn làm việc để nâng cao các sản phẩm của mình và sẽ xem xét điều này và áp dụng cho các cải tiến trong tương lai.”
Câu cuối cùng này là chỉ dấu duy nhất chúng ta đã thấy từ Microsoft rằng họ có thể khắc phục vấn đề.
Về hành động của “một số trang web hoặc nhà cung cấp,” Randall cho biết có một số cách hạn chế để giải quyết tình huống này.
“Có vẻ như có hai lựa chọn để tránh người dùng cuối vô tình ghi đè các khóa của các ứng dụng khác. Chúng ta kiểm tra tất cả các ứng dụng otpauth và trải qua những rắc rối khi cố gắng thuyết phục mọi công ty làm sai sửa chữa nó. Hoặc Microsoft sửa chữa điều này một lần và sau đó chúng ta không bao giờ phải lo lắng về nó nữa,” Randall nói.
Thông thường, người dùng ít khi liên hệ trực tiếp với ứng dụng Authenticator mà thay vào đó, họ thường đổ lỗi cho trang web hoặc dịch vụ đang sử dụng Authenticator để xác thực.
Vấn đề cốt lõi là Microsoft Authenticator sử dụng cùng một tên người dùng để ghi đè tài khoản.
Vì tên người dùng thường được sử dụng dưới dạng địa chỉ email, hầu hết các ứng dụng của người dùng đều có cùng một tên người dùng. Các ứng dụng xác thực khác như Google Authenticator thường thêm thông tin như ngân hàng hoặc công ty ô tô để tránh vấn đề này, trong khi Microsoft Authenticator chỉ sử dụng trường tên người dùng.
Điều tệ hơn nữa là sau khi tài khoản bị ghi đè, hệ thống rất khó xác định tài khoản nào đã bị ghi đè, điều này có thể dẫn đến vấn đề xác thực cho cả tài khoản mới và tài khoản bị ghi đè.
Người dùng có thể chỉ phát hiện ra vấn đề này vài tuần hoặc vài tháng sau khi cố gắng sử dụng tài khoản đã tạo trước đó, và lúc đó tài khoản này có thể đã bị vô hiệu hóa.
CSO News cho biết Vấn đề này đã thu hút sự chú ý gần đây khi Brett Randall, một tư vấn viên IT người Úc, đăng bài viết về nó trên LinkedIn.
Trong bài viết của mình, Randall mô tả việc tham gia vào một buổi đào tạo của nhà cung cấp: "Khi chúng tôi đăng nhập vào hệ thống của họ, chúng tôi được yêu cầu quét mã QR để kích hoạt MFA. Một số người tham gia đã mở Microsoft Authenticator, quét mã QR và ngay lập tức ghi đè khóa TOTP (mật khẩu một lần dựa trên thời gian) của một ứng dụng khác," Randall viết.
"Đây là cách nó nên hoạt động và cách mọi ứng dụng xác thực khác — Google, Okta, v.v. — hoạt động. Khi bạn quét mã QR cho MFA, nó sẽ tạo ra một chuỗi các giá trị. Các ứng dụng khác sẽ lấy hai giá trị trong số này — nhãn và nhà phát hành — và kết hợp chúng lại để tạo thành ID duy nhất cho khóa đó. Trong khi đó, Microsoft lại bỏ qua tiêu chuẩn này và chỉ lấy một giá trị — nhãn. Và đó thường là địa chỉ email của bạn. Điều này có nghĩa là Microsoft Authenticator sẽ ghi đè khóa TOTP cuối cùng sử dụng cùng địa chỉ email. Điều này có thể gây ra hậu quả nghiêm trọng."
Anh ấy nói thêm: "Nhìn thấy cả một phòng đầy người mất quyền truy cập vào các hệ thống khác khi họ lần lượt quét mã QR và Microsoft Authenticator ghi đè các khóa của họ vào các hệ thống khác thật đau đớn. Nhưng việc cố gắng khiến Microsoft nhận ra vấn đề và làm gì đó về nó? Đó gần như là điều không thể."
Microsoft đổ lỗi cho người dùng và nhà cung cấp
Microsoft đã xác nhận vấn đề nhưng cho rằng đó là một tính năng chứ không phải lỗi, và lỗi thuộc về người dùng hoặc các công ty sử dụng ứng dụng để xác thực.
Microsoft đã phát hành hai tuyên bố bằng văn bản cho CSO Online nhưng từ chối phỏng vấn. Tuyên bố đầu tiên của Microsoft viết: “Chúng tôi có thể xác nhận rằng ứng dụng xác thực của chúng tôi đang hoạt động đúng như mong muốn. Khi người dùng quét mã QR, họ sẽ nhận được thông báo yêu cầu xác nhận trước khi tiếp tục với bất kỳ hành động nào có thể ghi đè cài đặt tài khoản của họ. Điều này đảm bảo rằng người dùng hoàn toàn nhận thức được những thay đổi mà họ đang thực hiện.”
Một vấn đề với tuyên bố đầu tiên này là nó không phản ánh đúng thông điệp thông báo. Thông báo viết: “Hành động này sẽ ghi đè thông tin bảo mật hiện có cho tài khoản của bạn. Để ngăn chặn việc bị khóa tài khoản, chỉ tiếp tục nếu bạn đã khởi động hành động này từ một nguồn đáng tin cậy.”
Câu đầu tiên của cửa sổ cảnh báo là chính xác, rằng hành động này sẽ thực sự ghi đè tài khoản. Nhưng câu thứ hai không đúng khi hướng dẫn người dùng tiếp tục nếu hai điều kiện được đáp ứng: rằng người dùng đã khởi động hành động; và đó là nguồn đáng tin cậy. Trong hầu hết các tình huống liên quan, cả hai điều kiện đều áp dụng. Người dùng thực sự đã khởi động hành động (không phải là kẻ trộm mạng cố gắng đột nhập) và trang web (chẳng hạn như ngân hàng hoặc khách sạn) là đáng tin cậy.
Do đó, một người dùng tuân theo những hướng dẫn đó sẽ tiếp tục và ghi đè tài khoản. Cũng cần lưu ý rằng thông báo không cung cấp phương tiện nào để không ghi đè tài khoản, ngoại trừ việc từ bỏ toàn bộ nỗ lực xác thực. Người dùng tuân theo hướng dẫn sẽ trải nghiệm việc ghi đè vấn đề.
Vài ngày sau phản hồi ban đầu, Microsoft đã gửi một tuyên bố khác mà không cần yêu cầu. Tuyên bố thứ hai dài hơn nhiều, đổ lỗi cho các nhà cung cấp:
“Khi bạn quét mã QR, ứng dụng Authenticator sử dụng một nhãn do nhà cung cấp cung cấp để thiết lập tài khoản TOTP (Mật khẩu một lần dựa trên thời gian) của bạn. Tuy nhiên, một số trang web hoặc nhà cung cấp không bao gồm nhà cung cấp — tên trang web hoặc tên nhà cung cấp nhận dạng — trong nhãn. Điều này có thể dẫn đến tình huống người dùng có thể đã có tài khoản với cùng một nhãn và ứng dụng cố gắng ghi đè tài khoản TOTP hiện có bằng cái mới mà họ đang quét. Trong những tình huống mà người dùng đã có tài khoản với cùng một nhãn, người dùng luôn được trình bày với một thông báo yêu cầu xác nhận ghi đè tài khoản TOTP hiện có trong ứng dụng của họ và có thể đưa ra quyết định có ý thức để tiếp tục hay không. Chúng tôi luôn làm việc để nâng cao các sản phẩm của mình và sẽ xem xét điều này và áp dụng cho các cải tiến trong tương lai.”
Câu cuối cùng này là chỉ dấu duy nhất chúng ta đã thấy từ Microsoft rằng họ có thể khắc phục vấn đề.
Về hành động của “một số trang web hoặc nhà cung cấp,” Randall cho biết có một số cách hạn chế để giải quyết tình huống này.
“Có vẻ như có hai lựa chọn để tránh người dùng cuối vô tình ghi đè các khóa của các ứng dụng khác. Chúng ta kiểm tra tất cả các ứng dụng otpauth và trải qua những rắc rối khi cố gắng thuyết phục mọi công ty làm sai sửa chữa nó. Hoặc Microsoft sửa chữa điều này một lần và sau đó chúng ta không bao giờ phải lo lắng về nó nữa,” Randall nói.