top of page

Lỗ hổng "FlagLeft" trong mã nguồn Microsoft 365 đặt hàng tỷ người dùng Android trước nguy cơ lộ dữ liệu

  • 3 ngày trước
  • 4 phút đọc

Trong thế giới lập trình, một sơ suất nhỏ đôi khi có thể dẫn đến những hệ lụy bảo mật quy mô lớn. Mới đây, các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mang tên "FlagLeft" nằm trong hệ sinh thái ứng dụng Microsoft 365 dành cho hệ điều hành Android. Sự cố này đe dọa đến an toàn thông tin của hàng tỷ người dùng trên toàn cầu, mở đường cho các ứng dụng độc hại âm thầm chiếm đoạt quyền truy cập tài khoản mà không cần người dùng thao tác hay cho phép.

Lỗ hổng này đến từ đâu?

Theo các báo cáo phân tích kỹ thuật, lỗ hổng FlagLeft phát sinh từ một sơ suất khá hy hữu: cờ cấu hình kiểm thử setIsDebugMode(true) vô tình bị giữ lại trong các phiên bản phần mềm phát hành chính thức đến tay người dùng.

Thông thường, đoạn mã này chỉ được kích hoạt nội bộ trong giai đoạn phát triển và kiểm tra ứng dụng. Tuy nhiên, khi xuất hiện ở môi trường thực tế, nó đã vô hiệu hóa hoàn toàn hàng rào bảo vệ có nhiệm vụ xác minh danh tính ứng dụng. Hệ quả là hệ thống không thể phân biệt được đâu là ứng dụng Microsoft chính hãng và an toàn, tạo điều kiện cho các phần mềm độc hại nằm trên cùng thiết bị dễ dàng vượt qua lớp kiểm duyệt để yêu cầu cấp mã khóa đăng nhập (token).

Sơ suất hy hữu: Đoạn mã đã vô hiệu hóa hoàn toàn hàng rào bảo vệ có nhiệm vụ xác minh danh tính ứng dụng
Sơ suất hy hữu: Đoạn mã đã vô hiệu hóa hoàn toàn hàng rào bảo vệ có nhiệm vụ xác minh danh tính ứng dụng

Cơ chế đăng nhập một lần bị lợi dụng như thế nào?

Sở dĩ lỗ hổng này có sức ảnh hưởng diện rộng là do cơ chế mang tên FOCI (Family of Client IDs) được tích hợp trong Microsoft 365 trên Android. Đây là tính năng hỗ trợ đăng nhập một lần, giúp mang lại sự tiện lợi cho người dùng. Nhờ có FOCI, bạn chỉ cần đăng nhập tài khoản một lần duy nhất là có thể sử dụng mượt mà trên một chuỗi các ứng dụng cùng hệ sinh thái như Word, Excel, PowerPoint hay OneNote mà không cần nhập lại mật khẩu.

Tuy nhiên, khi lá chắn xác minh độ tin cậy bị vô hiệu hóa bởi lỗi cấu hình kể trên, cơ chế FOCI lại vô tình mở cửa cho kẻ xấu. Một ứng dụng giả mạo hoặc độc hại từ bên thứ ba có thể gửi yêu cầu và nhận về các mã token hợp lệ giống hệt như một ứng dụng Microsoft chính thống.

Nguy cơ rò rỉ thông tin diện rộng trên nhiều ứng dụng

Các chuyên gia đánh giá mức độ rủi ro của lỗ hổng này là rất cao. Những mã token bị chiếm đoạt có khả năng tự động gia hạn và duy trì hiệu lực trong thời gian dài. Khi nắm được các mã này, kẻ tấn công có thể toàn quyền đọc email, xem các tệp tin lưu trữ trên OneDrive, kiểm tra lịch làm việc cùng nhiều dữ liệu cá nhân nhạy cảm khác gắn liền với tài khoản Microsoft của nạn nhân. Đáng ngại hơn, do các yêu cầu truy cập này đều sử dụng mã xác thực hợp lệ nên hệ thống rất khó phát hiện ra điểm bất thường, gây ra nhiều trở ngại cho công tác điều tra dấu vết bảo mật.

Khi hacker nắm được các mã token, chúng có thể toàn quyền đọc email, xem các tệp tin lưu trữ trên OneDrive hay các dữ liệu khác gắn liền với tài khoản Microsoft của nạn nhân
Khi hacker nắm được các mã token, chúng có thể toàn quyền đọc email, xem các tệp tin lưu trữ trên OneDrive hay các dữ liệu khác gắn liền với tài khoản Microsoft của nạn nhân

Đơn vị phát hiện ra FlagLeft - các nhà nghiên cứu từ Enclave - cho biết lỗi này không nằm riêng lẻ ở một phần mềm cố định. Nó xuất phát từ bộ công cụ phát triển phần mềm dùng chung (SDK) được áp dụng đồng thời cho nhiều sản phẩm của Microsoft. Chính vì vậy, một loạt ứng dụng phổ biến bao gồm Microsoft Word, Excel, PowerPoint, OneNote, Loop và cả trợ lý ảo Microsoft 365 Copilot trên Android đều dính lỗi. Riêng ứng dụng Microsoft Teams may mắn không bị ảnh hưởng nhờ việc cấu hình cờ debug chính xác trước khi phát hành.

Giải pháp khắc phục và khuyến nghị từ chuyên gia

Ngay sau khi nhận được thông tin, Trung tâm Phản hồi Bảo mật Microsoft (MSRC) đã xác nhận lỗ hổng và khẩn trương tung ra các bản vá lỗi. Nhiều mã định danh lỗ hổng (CVE) đã được áp dụng cho từng ứng dụng, trong đó sự cố trên Word (CVE-2026-41101) và PowerPoint (CVE-2026-41102) được xếp vào nhóm có mức độ nghiêm trọng cao.

Hiện tại, các phiên bản cập nhật sửa lỗi đã có mặt trên kho ứng dụng Google Play. Để đảm bảo an toàn, người dùng cá nhân được khuyến cáo cần lập tức cập nhật các ứng dụng Word, Excel, PowerPoint, OneNote, Loop và Microsoft 365 Copilot lên phiên bản mới nhất. Đối với các tổ chức và doanh nghiệp, đội ngũ quản trị viên hệ thống cần nhanh chóng rà soát, kiểm tra việc cài đặt bản vá trên toàn bộ các thiết bị do công ty quản lý, đồng thời giám sát chặt chẽ các hoạt động xác thực OAuth để kịp thời phát hiện nếu có dấu hiệu lạm dụng mã token.

Với quy mô ảnh hưởng lên tới hàng tỷ thiết bị Android, FlagLeft được xem là một trong những sự cố kiểm soát truy cập nghiêm trọng nhất đối với hệ sinh thái Microsoft 365 thời gian gần đây. Sự việc này là một minh chứng rõ nét cho thấy rủi ro tiềm ẩn từ các thành phần mã nguồn dùng chung (SDK), nơi mà chỉ một sai sót cấu hình nhỏ cũng có thể tạo ra hiệu ứng dây chuyền, đe dọa an toàn thông tin của hàng loạt sản phẩm công nghệ lớn.

Tham khảo: WhiteHat

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page