Như chúng tôi đã báo cáo hai ngày trước, Microsoft tuần này đã phát hành phiên bản cập nhật của ứng dụng Outlook dành cho Android để vá lỗ hổng thực thi mã từ xa nghiêm trọng ( CVE-2019-1105 ) đã ảnh hưởng đến hơn 100 triệu người dùng.
Tuy nhiên, vào thời điểm đó, rất ít chi tiết về lỗ hổng có sẵn trong lời khuyên, điều này chỉ tiết lộ rằng các phiên bản trước của ứng dụng email có một lỗ hổng kịch bản chéo trang (XSS) có thể cho phép kẻ tấn công chạy các tập lệnh trong ngữ cảnh người dùng hiện tại chỉ bằng cách gửi một email được chế tạo đặc biệt cho các nạn nhân.
Bây giờ, Bryan Appleby từ F5 Networks, một trong những nhà nghiên cứu bảo mật đã báo cáo vấn đề này một cách độc lập với Microsoft, đã công bố thêm chi tiết và bằng chứng về khái niệm về lỗ hổng Outlook mà ông đã báo cáo cho gã khổng lồ công nghệ gần sáu tháng trước.
Trong một bài đăng trên blog được xuất bản vào thứ Sáu, Appleby tiết lộ rằng trong khi trao đổi một số mã JavaScript với bạn bè của mình qua email, anh đã vô tình phát hiện ra vấn đề về kịch bản chéo trang (XSS) có thể cho phép kẻ tấn công nhúng iframe vào email.
Nói cách khác, lỗ hổng bảo mật nằm ở cách máy chủ email phân tích các thực thể HTML trong các thông báo email.
Mặc dù JavaScript chạy bên trong iframe chỉ có thể truy cập nội dung bên trong nó, Appleby nhận thấy rằng việc thực thi mã JavaScript bên trong iframe được tiêm có thể cho phép kẻ tấn công đọc nội dung liên quan đến ứng dụng trong bối cảnh người dùng Outlook đã đăng nhập, bao gồm cookie, mã thông báo và thậm chí một số nội dung của hộp thư đến email của họ.
Lỗ hổng, Appleby nói, cho phép anh ta “đánh cắp dữ liệu từ ứng dụng mà tôi có thể sử dụng nó để đọc và trích xuất HTML”.
“Loại lỗ hổng này có thể bị khai thác bởi kẻ tấn công gửi email có JavaScript trong đó. Máy chủ thoát khỏi JavaScript đó và không thấy nó vì nó nằm trong iframe. Khi được gửi, ứng dụng thư tự động hoàn tác thoát và JavaScript chạy trên thiết bị khách. Bingo – thực thi mã từ xa, “Appleby giải thích.
“Mã này có thể làm bất cứ điều gì kẻ tấn công mong muốn, lên đến và bao gồm đánh cắp thông tin và / hoặc gửi dữ liệu ra ngoài. Kẻ tấn công có thể gửi email cho bạn và chỉ cần bạn đọc nó, chúng có thể đánh cắp nội dung trong hộp thư đến của bạn. có thể biến thành một phần mềm độc hại rất khó chịu. “
Appleby có trách nhiệm báo cáo phát hiện của mình cho Microsoft vào ngày 10 tháng 12 năm 2018 và công ty đã xác nhận lỗ hổng này vào ngày 26 tháng 3 năm 2019 khi ông chia sẻ một PoC phổ quát với người khổng lồ công nghệ.
Microsoft đã vá lỗ hổng và phát hành bản sửa lỗi chỉ 2 ngày trước – đó là gần 6 tháng sau khi tiết lộ lỗ hổng ban đầu. Công ty cho biết hiện tại họ không biết về bất kỳ cuộc tấn công nào trong tự nhiên liên quan đến vấn đề này.
Một lần nữa, nếu thiết bị Android của bạn chưa được cập nhật tự động, bạn nên cập nhật ứng dụng Outlook của mình từ Cửa hàng Google Play theo cách thủ công.