MinhSec
Writer
Một nghiên cứu mới cho thấy việc người dùng vô tư nhấn “Chấp nhận” khi ứng dụng yêu cầu quyền truy cập có thể vô tình tạo ra một lỗ hổng bảo mật nghiêm trọng. Trong môi trường Microsoft Entra ID, quá trình cấp quyền OAuth có thể cho phép ứng dụng kể cả các công cụ AI đọc email doanh nghiệp mà không cần mật khẩu hay mã xác thực đa yếu tố (MFA).
Điều đáng lo là quá trình này hoàn toàn hợp pháp và thường diễn ra âm thầm, khiến người dùng gần như không nhận ra rủi ro phía sau.
Về bản chất, OAuth là cơ chế quen thuộc giúp chúng ta “Đăng nhập bằng Google” hay “Đăng nhập bằng Apple” mà không cần nhập mật khẩu. Tuy nhiên, khi người dùng cấp quyền quản trị hoặc quyền truy cập dữ liệu, hệ thống sẽ tạo ra một Service Principal một “đại diện kỹ thuật số” duy trì phiên đăng nhập bằng token.
Điểm nguy hiểm nằm ở chỗ: token này cho phép ứng dụng tiếp tục truy cập dữ liệu trong nền mà không cần yêu cầu mật khẩu hay mã MFA lần nữa. Nói cách khác, sau khi đã được chấp thuận, ứng dụng có thể duy trì quyền đọc email liên tục mà không kích hoạt thêm lớp bảo mật nào.
Các chuyên gia khuyến nghị bộ phận CNTT nên thường xuyên kiểm tra Audit Logs với hai hành động quan trọng:
Nếu phát hiện ứng dụng đáng ngờ, doanh nghiệp có thể nhanh chóng thu hồi quyền truy cập để chặn luồng dữ liệu ngay lập tức.
Nghiên cứu này không có nghĩa là phải ngừng sử dụng các công cụ AI, nhưng là lời cảnh báo rõ ràng: trong kỷ nguyên số, lớp bảo mật quan trọng nhất đôi khi chỉ đơn giản là đọc kỹ các quyền trước khi bấm “Chấp nhận”.
Điều đáng lo là quá trình này hoàn toàn hợp pháp và thường diễn ra âm thầm, khiến người dùng gần như không nhận ra rủi ro phía sau.
Khi ứng dụng được cấp quyền, MFA gần như bị “bỏ qua”
Trong nghiên cứu của Red Canary, một nhân viên tại công ty giả định Contoso đã liên kết ứng dụng với tài khoản doanh nghiệp thông qua OAuth. Quyền được cấp là “Mail.Read” thông qua dịch vụ Microsoft Graph, đồng nghĩa với việc ứng dụng có thể đọc toàn bộ email của người dùng trên nền tảng đám mây.Về bản chất, OAuth là cơ chế quen thuộc giúp chúng ta “Đăng nhập bằng Google” hay “Đăng nhập bằng Apple” mà không cần nhập mật khẩu. Tuy nhiên, khi người dùng cấp quyền quản trị hoặc quyền truy cập dữ liệu, hệ thống sẽ tạo ra một Service Principal một “đại diện kỹ thuật số” duy trì phiên đăng nhập bằng token.
Điểm nguy hiểm nằm ở chỗ: token này cho phép ứng dụng tiếp tục truy cập dữ liệu trong nền mà không cần yêu cầu mật khẩu hay mã MFA lần nữa. Nói cách khác, sau khi đã được chấp thuận, ứng dụng có thể duy trì quyền đọc email liên tục mà không kích hoạt thêm lớp bảo mật nào.
Khoảng trống bảo mật âm thầm trong doanh nghiệp
Rủi ro càng lớn khi nhiều tổ chức cho phép người dùng tự do phê duyệt ứng dụng mà không cần quản trị viên xét duyệt. Chỉ một cú nhấp “Đồng ý” cũng có thể mở ra cánh cửa âm thầm cho việc truy cập dữ liệu nhạy cảm trong thời gian dài.Các chuyên gia khuyến nghị bộ phận CNTT nên thường xuyên kiểm tra Audit Logs với hai hành động quan trọng:
- Add service principal
- Consent to application
Nếu phát hiện ứng dụng đáng ngờ, doanh nghiệp có thể nhanh chóng thu hồi quyền truy cập để chặn luồng dữ liệu ngay lập tức.
Nghiên cứu này không có nghĩa là phải ngừng sử dụng các công cụ AI, nhưng là lời cảnh báo rõ ràng: trong kỷ nguyên số, lớp bảo mật quan trọng nhất đôi khi chỉ đơn giản là đọc kỹ các quyền trước khi bấm “Chấp nhận”.
Nguồn: hackread
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: