Cảnh báo rò rỉ thông tin doanh nghiệp qua cú nhấp chuột trên Microsoft 365 Copilot
- Evelyn Carter
- 2 ngày trước
- 3 phút đọc
Chỉ với một cú nhấp chuột vào một đường dẫn đáng tin cậy thuộc tên miền của Microsoft, kẻ tấn công đã có thể bí mật thu thập các thông tin nhạy cảm như email, lịch làm việc và các tệp tin được lập chỉ mục. Sự cố bảo mật này liên quan đến một chuỗi lỗ hổng nghiêm trọng mang tên SearchLeak, được phát hiện trên công cụ Microsoft 365 Copilot Enterprise Search.
Lỗ hổng SearchLeak hoạt động như thế nào?
Các chuyên gia từ Varonis Threat Labs đã phát hiện ra phương thức khai thác SearchLeak bằng cách kết hợp chuỗi ba lỗi bảo mật khác nhau để vượt qua các lớp phòng thủ. Chúng có thể tạo ra một đường dẫn lừa bộ công cụ AI này tự động tìm kiếm hộp thư của nạn nhân, lấy tiêu đề email rồi chèn vào một URL hình ảnh mà người dùng không cần nhập bất cứ thứ gì.
Kẻ tấn công vượt qua Chính sách bảo mật nội dung (CSP) vốn chặn các tên miền lạ bằng cách tận dụng tính năng "Tìm kiếm bằng hình ảnh" của Bing (tên miền *.bing.com vốn nằm trong danh sách an toàn của trang web). Bing vô tình trở thành máy chủ trung gian (proxy) thực hiện việc tải hình ảnh từ máy chủ độc hại, giúp gửi kèm dữ liệu bị đánh cắp nằm trong đường dẫn và hiển thị trực tiếp trên nhật ký hệ thống của kẻ tấn công mà không bị bộ lọc của trình duyệt chặn lại.
Những loại dữ liệu nào có nguy cơ bị đánh cắp qua lỗ hổng này?
Do Copilot Enterprise hoạt động dựa trên quyền hạn của chính người dùng thông qua hệ thống Microsoft Graph, kẻ tấn công có thể thừa hưởng toàn bộ phạm vi tiếp cận này mà không cần đăng nhập trực tiếp.
Bên cạnh đó, lỗ hổng này cũng đe dọa các thông tin nhạy cảm khác như lời mời họp, ghi chú cuộc họp và toàn bộ các tệp tin lưu trữ trên SharePoint hoặc OneDrive mà Copilot đã lập chỉ mục, nơi chứa các dữ liệu về bảng lương, báo cáo doanh thu tài chính hay kế hoạch mua bán và sáp nhập của tổ chức.
Mức độ đánh giá và tình trạng xử lý lỗ hổng này hiện tại ra sao?
Lỗ hổng này được định danh mã số quốc tế là CVE-2026-42824 và được Microsoft xếp loại ở mức nghiêm trọng. Mặc dù vậy, điểm số đánh giá độ nguy hại (CVSS) có sự chênh lệch khi Microsoft chấm 6.5 điểm còn Cơ sở dữ liệu lỗ hổng bảo mật quốc gia đưa ra mức 7.5 điểm. Do Microsoft đã nhanh chóng xử lý và giảm thiểu lỗ hổng trực tiếp trên hệ thống máy chủ tổng (backend) của dịch vụ quản lý này, người dùng hiện tại không cần phải lo lắng hay thực hiện các thao tác vá lỗi thủ công.
Các quản trị viên hệ thống cần làm gì để bảo vệ doanh nghiệp?
Biện pháp khả thi nhất hiện tại cho các tổ chức là tăng cường giám sát chặt chẽ và khoanh vùng rủi ro. Quan trọng hơn hết, doanh nghiệp cần thắt chặt việc quản trị quyền truy cập dữ liệu nội bộ để thu hẹp phạm vi lập chỉ mục của các công cụ trí tuệ nhân tạo, từ đó giảm thiểu tối đa "vùng ảnh hưởng" nếu xuất hiện các sự cố rò rỉ tương tự trong tương lai.
Giải pháp xây dựng “lá chắn số” cho các doanh nghiệp
Để bảo vệ toàn diện hạ tầng số và thông tin dữ liệu trước các lỗ hổng công nghệ phức tạp, doanh nghiệp có thể tham khảo các giải pháp tối ưu tại dịch vụ an ninh mạng IPSIP Việt Nam.
Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động không ngừng nghỉ 24/7 như Trung tâm Giám sát An ninh mạng (SOC), Trung tâm Điều hành Mạng lưới (NOC) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm. Sự đồng hành của những bộ óc kỹ thuật hàng đầu sẽ giúp doanh nghiệp tháo gỡ hoàn toàn rủi ro pháp lý và giải phóng nguồn lực cho các mục tiêu tăng trưởng.
Nguồn tham khảo
Bình luận