Lỗ Hổng Microsoft Defender for Identity: Nguy Cơ Đánh Cắp Thông Tin và Cách Khắc Phục

14/06/2025
2 mins read
Nội dung
Lỗ Hổng Trong Microsoft Defender for Identity (MDI): Nguy Cơ Đánh Cắp Thông Tin Xác Thực và Các Biện Pháp Khắc Phục
1. Chi Tiết Lỗ Hổng
2. Tác Động và Cách Khai Thác
3. Biện Pháp Khắc Phục và Bản Vá
4. Các Mối Đe Dọa và Kỹ Thuật Liên Quan
5. Kết Luận và Khuyến Nghị

Lỗ Hổng Trong Microsoft Defender for Identity (MDI): Nguy Cơ Đánh Cắp Thông Tin Xác Thực và Các Biện Pháp Khắc Phục

Một lỗ hổng bảo mật nghiêm trọng trong Microsoft Defender for Identity (MDI) đã được phát hiện, cho phép kẻ tấn công không xác thực đánh cắp thông tin xác thực thông qua kỹ thuật giả mạo (spoofing). Dưới đây là chi tiết kỹ thuật về lỗ hổng, tác động, cách khai thác và các biện pháp khắc phục mà các tổ chức cần triển khai để giảm thiểu rủi ro.

1. Chi Tiết Lỗ Hổng

  • Lỗ hổng này được đánh giá mức độ nguy hiểm 6.5 trên thang điểm CVSS v3.1.
  • Nó khai thác tính năng Lateral Movement Paths (LMPs) của MDI, cho phép kẻ tấn công thu thập thông tin xác thực người dùng, dẫn đến khả năng leo thang đặc quyền (privilege escalation).

2. Tác Động và Cách Khai Thác

Lỗ hổng trong MDI tạo điều kiện cho kẻ tấn công thực hiện di chuyển ngang (lateral movement) trong mạng nội bộ của tổ chức. Điều này có thể dẫn đến những hậu quả sau:

  • Truy cập vào các tài khoản có đặc quyền cao hơn hoặc thậm chí là các tổ chức bên thứ ba liên kết với hệ thống bị xâm phạm.
  • Tăng khả năng duy trì hiện diện lâu dài (persistence) trong hệ thống bằng cách sử dụng nhiều danh tính bị đánh cắp.
  • Truy cập trái phép vào các tài nguyên nhạy cảm, gây rủi ro nghiêm trọng cho bảo mật của tổ chức.

3. Biện Pháp Khắc Phục và Bản Vá

Microsoft đã kịp thời giải quyết vấn đề này trong bản cập nhật tháng 5 năm 2025. Các tổ chức cần thực hiện các bước sau để bảo vệ hệ thống:

  • Cập nhật lên phiên bản mới nhất của Microsoft Defender for Identity theo bản vá được Microsoft phát hành trong đợt tháng 5/2025.
  • Đảm bảo các cấu hình bảo mật được áp dụng đúng theo hướng dẫn của Microsoft để ngăn chặn các kiểu tấn công liên quan đến lateral movement.

4. Các Mối Đe Dọa và Kỹ Thuật Liên Quan

Bên cạnh lỗ hổng này, các nhóm tấn công như Storm-0539 và Storm-2372 đã sử dụng các kỹ thuật phishing tinh vi để giành quyền truy cập ban đầu và di chuyển ngang trong hệ thống. Một số kỹ thuật phổ biến bao gồm:

  • AI-powered phishing (AiTM – Adversary-in-the-Middle): Sử dụng các công cụ hỗ trợ AI để thực hiện tấn công trung gian, đánh cắp thông tin xác thực.
  • Device code phishing: Lừa người dùng cấp quyền truy cập thông qua mã thiết bị giả mạo.
  • Gửi email phishing từ các danh tính bị đánh cắp, giả mạo tin nhắn hợp pháp từ nội bộ tổ chức, khiến việc phát hiện trở nên khó khăn hơn.

5. Kết Luận và Khuyến Nghị

Lỗ hổng trong Microsoft Defender for Identity là một lời cảnh báo về tầm quan trọng của việc cập nhật thường xuyên và triển khai các biện pháp bảo mật mạnh mẽ. Các tổ chức cần ưu tiên vá lỗi, kiểm tra cấu hình và tăng cường giám sát để ngăn chặn các cuộc tấn công di chuyển ngang cũng như bảo vệ thông tin xác thực nhạy cảm. Việc phát hiện và ứng phó kịp thời với các kỹ thuật phishing tinh vi cũng là một phần không thể thiếu trong chiến lược bảo mật tổng thể.