Một cờ phát triển đã bị bỏ quên trong mã sản xuất đã vô tình cấp token tài khoản Microsoft cho bất kỳ ứng dụng nào trên thiết bị Android. Điều này gây phơi nhiễm cho hàng tỷ người dùng trên sáu ứng dụng Microsoft 365 lớn trước nguy cơ chiếm quyền điều khiển tài khoản mà không cần tương tác hay sự đồng ý của người dùng. Đây là một lỗ hổng CVE nghiêm trọng cần được chú ý.
Lỗ hổng CVE này, được đặt tên là FlagLeft, cho phép bất kỳ ứng dụng bên thứ ba nào trên cùng một thiết bị Android âm thầm yêu cầu và nhận token tài khoản Microsoft hợp lệ mà không kích hoạt lời nhắc đăng nhập, yêu cầu quyền hoặc thông báo cho người dùng.
Tổng quan về lỗ hổng FlagLeft
Bản chất và cơ chế khai thác
Nguyên nhân gốc rễ của lỗ hổng CVE FlagLeft rất đơn giản: một dòng mã debug duy nhất, setIsDebugMode(true), đã bị bỏ quên và vẫn được bật trong các bản dựng sản xuất.
Cờ này đã vô hiệu hóa quá trình kiểm tra ủy quyền được thiết kế để đảm bảo rằng chỉ các ứng dụng Microsoft đáng tin cậy mới có thể yêu cầu token tài khoản từ các ứng dụng Microsoft khác trên cùng một thiết bị.
Các ứng dụng Microsoft 365 sử dụng cơ chế chia sẻ token gọi là FOCI (Family of Client IDs) để kích hoạt tính năng đăng nhập một lần (SSO) liền mạch trên bộ ứng dụng.
Ví dụ, việc đăng nhập vào Word có nghĩa là PowerPoint hoặc Excel không yêu cầu đăng nhập riêng, đây là một thiết kế hợp lệ và có chủ đích.
Tuy nhiên, setIsDebugMode(true) đã bỏ qua bước xác minh tin cậy, vốn là cơ chế phân biệt một ứng dụng Microsoft hợp pháp với một ứng dụng bên thứ ba không đáng tin cậy.
Với chế độ debug đang hoạt động, bất kỳ ứng dụng nào được cài đặt chung đều có thể thực hiện cùng một yêu cầu token và nhận lại toàn bộ token FOCI.
Phạm vi ảnh hưởng và các ứng dụng liên quan
Lỗ hổng CVE này đã được xác nhận trên các ứng dụng Microsoft Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop và Microsoft OneNote trên Android.
Microsoft Teams không bị ảnh hưởng do cờ debug của nó được đặt chính xác thành false trong phiên bản sản xuất.
Vì cờ dễ bị tổn thương nằm trong một Microsoft SDK được chia sẻ, cùng một mã lỗi đã lan truyền đồng thời qua tất cả sáu ứng dụng này.
Tổng số lượt cài đặt trên sáu ứng dụng bị ảnh hưởng trải dài hàng tỷ thiết bị Android trên toàn cầu. Mỗi người dùng đã đăng nhập đều có khả năng bị đánh cắp token một cách âm thầm bởi bất kỳ ứng dụng nào được cài đặt chung.
Phân tích kỹ thuật lỗ hổng CVE và CVSS
Microsoft Security Response Center (MSRC) đã xác nhận và vá tất cả các vấn đề được báo cáo, gán nhiều lỗ hổng CVE.
Cụ thể, CVE-2026-41100 bao gồm Microsoft 365 Copilot cho Android với điểm CVSS 4.4 (Medium).
CVE-2026-41101 bao gồm Word cho Android và CVE-2026-41102 bao gồm PowerPoint cho Android, cả hai đều được đánh giá CVSS 7.1 (High).
Microsoft Office cho Android có điểm CVSS 7.7 (Important). Tất cả các vấn đề này đều thuộc danh mục CWE-284 Improper Access Control.
Các token bị đánh cắp đặc biệt nguy hiểm vì chúng có thời gian tồn tại dài, có thể làm mới và không tạo ra bất kỳ hoạt động đáng ngờ nào trong nhật ký. Lưu lượng truy cập trông hoàn toàn bình thường, làm tăng rủi ro bảo mật.
Kẻ tấn công khai thác lỗ hổng CVE này có thể âm thầm đọc email, truy cập các tệp OneDrive, gửi tin nhắn và xem dữ liệu lịch, tất cả dưới danh tính của người dùng đã đăng nhập, dẫn đến chiếm quyền điều khiển hoàn toàn.
Khuyến nghị và biện pháp khắc phục
Microsoft đã cung cấp bản vá bảo mật cho cả sáu ứng dụng bị ảnh hưởng. Người dùng phải cập nhật ngay lập tức Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop và OneNote lên các phiên bản Android mới nhất của chúng.
Các quản trị viên MDM (Mobile Device Management) doanh nghiệp nên xác nhận rằng các phiên bản đã được vá đã được triển khai trên các thiết bị được quản lý.
Họ cũng cần kiểm tra hoạt động token OAuth trong Microsoft Defender for Cloud Apps để phát hiện bất kỳ hành vi bất thường nào.
Trường hợp này minh họa cách một thành phần phát triển duy nhất, một cờ boolean, có thể làm sụp đổ toàn bộ mô hình tin cậy xác thực khi nó lọt vào môi trường sản xuất. Đây là một rủi ro bảo mật cần được quản lý chặt chẽ.
Lỗ hổng CVE này không nằm ở bản thân thiết kế chia sẻ token FOCI, mà ở việc thiếu cơ chế kiểm soát quyền truy cập vào nó. Vì mã được chia sẻ qua SDK, một sự sơ suất đã ngay lập tức ảnh hưởng đến sáu ứng dụng lớn và hàng tỷ người dùng cùng một lúc.
Nhóm nghiên cứu tại Enclave và Ofek Levin đã khám phá ra điểm yếu nghiêm trọng này. Chi tiết về phát hiện này được trình bày trên blog của họ. Phát hiện kịp thời giúp giảm thiểu rủi ro bảo mật từ lỗ hổng CVE này.
Không có bất kỳ chỉ số xâm phạm (IOC) nào hiển thị phía người dùng, khiến việc phát hiện trở nên khó khăn hơn. Do đó, việc áp dụng bản vá bảo mật ngay lập tức là cực kỳ quan trọng.
