Một lỗ hổng bảo mật nghiêm trọng trong chức năng xuất PDF của Microsoft 365 đã được phát hiện và vá lỗi, làm nổi bật rủi ro đáng kể đối với dữ liệu nhạy cảm của doanh nghiệp.
Bản Chất Lỗ Hổng: Local File Inclusion (LFI)
Lỗ hổng này, đã mang lại cho nhà nghiên cứu phát hiện ra nó một khoản tiền thưởng 3.000 USD từ Trung tâm Phản ứng Bảo mật Microsoft (MSRC), phơi bày một vector tấn công Local File Inclusion (LFI). LFI có khả năng làm lộ thông tin hệ thống bí mật trong môi trường đa đối tượng thuê (multi-tenant).
Quá Trình Khám Phá
Lỗi bảo mật ban đầu được phát hiện trong quá trình đánh giá thường lệ cho một khách hàng. Một nhà nghiên cứu an ninh mạng đang phân tích một ứng dụng web có khả năng chuyển đổi tài liệu. Ứng dụng này sử dụng các API chính thức của Microsoft để chuyển đổi nhiều định dạng tài liệu khác nhau thành PDF thông qua tích hợp SharePoint.
Trong quá trình thử nghiệm, nhà nghiên cứu đã xác định một hành vi bất thường cho phép truy cập trái phép vào các tệp hệ thống cục bộ trong quá trình chuyển đổi từ HTML sang PDF. Điều khiến phát hiện này trở nên đặc biệt quan trọng là lỗ hổng tồn tại trong cơ sở hạ tầng cốt lõi của Microsoft, chứ không phải trong quá trình triển khai tùy chỉnh của khách hàng. Nhóm phát triển của khách hàng đã xác nhận rằng họ chỉ sử dụng một lớp bao bọc (wrapper) xung quanh các API chính thức của Microsoft, điều này đã thúc đẩy nhà nghiên cứu trực tiếp chuyển báo cáo phát hiện tới nhóm bảo mật của Microsoft.
Nguyên Nhân Lỗ Hổng
Lỗ hổng bắt nguồn từ một tính năng không được ghi lại (undocumented feature) trong các API Microsoft Graph, cho phép chuyển đổi HTML sang PDF. Mặc dù tài liệu chính thức chỉ định các định dạng được hỗ trợ, bao gồm nhiều tệp Microsoft Office khác nhau (.doc, .docx, .ppt, .xlsx, v.v.), hệ thống cũng xử lý nội dung HTML mà không có các kiểm soát bảo mật phù hợp.
Phương Pháp Khai Thác
Kẻ tấn công có thể khai thác điểm yếu này bằng cách nhúng các thẻ HTML cụ thể—bao gồm <embed>, <object>, và <iframe>—vào các tài liệu HTML độc hại. Các thẻ này có thể buộc việc đưa các tệp máy chủ cục bộ vào đầu ra PDF được tạo ra, từ đó vượt qua các ranh giới bảo mật hệ thống tệp truyền thống.
Phương pháp tấn công bao gồm ba bước đơn giản:
- Tải lên một tệp HTML được tạo sẵn thông qua Graph API.
- Yêu cầu chuyển đổi sang PDF.
- Tải xuống tài liệu PDF kết quả chứa nội dung tệp cục bộ đã được nhúng.
Nhà nghiên cứu đã chứng minh hiệu quả của lỗ hổng bằng cách trích xuất thành công các tệp hệ thống phổ biến như web.config và win.ini, chứng minh tính khả thi của khái niệm này trong các kịch bản thực tế.
Phản Ứng và Biện Pháp Khắc Phục của Microsoft
Microsoft đã phân loại lỗ hổng này ở mức độ nghiêm trọng “Important” (Quan trọng) và đã triển khai các biện pháp khắc phục toàn diện. Giai đoạn điều tra kéo dài bốn tháng đã kết thúc với việc trao giải thưởng 3.000 USD, ghi nhận đóng góp của nhà nghiên cứu vào an ninh doanh nghiệp.
Khuyến Nghị
Các tổ chức sử dụng dịch vụ Microsoft 365 cần đảm bảo hệ thống của họ được cập nhật các bản vá bảo mật mới nhất để bảo vệ chống lại các lỗ hổng tương tự.
