911 - Internet Security ( Call Center 0612 600 911

1. Thông tin chung

Mới đây, một lỗ hổng nghiêm trọng trên dịch vụ web của Yahoo đã được công bố. Đây là lỗ hổng cho phép hacker có thể lấy được mật khẩu truy nhập vào tài khoản người sử dụng của Yahoo. Từ đó hacker sử dụng tài khoản này để thực hiện các ý đồ xấu như phát tán thư rác, tin nhắn rác, mạo nhận thông tin, đánh cắp các thông tin quan trọng…

Ngày công bố	Phần mềm có lỗi	Mức độ nguy hiểm
18/09/2009	Các dịch vụ của Yahoo	Cao

2. Mô tả kỹ thuật

Thông thường, quá trình người sử dụng đăng nhập vào hệ thống của Yahoo sẽ phải trải qua những bước kiểm tra an ninh đặc biệt, trong đó bao gồm cả việc hạn chế số lần đăng nhập không chính xác. Thông tin trả về cho người sử dụng không chỉ rõ thành phần không chính xác mà chỉ là những thông báo mang tính chất chung. Những bước kiểm tra này giúp phòng chống kiểu tấn công brute force - kiểu tấn công mà hacker sẽ thử tất cả các trường hợp có thể có của mật khẩu cho đến khi tìm thấy mật khẩu chính xác.

Tuy nhiên Yahoo lại cung cấp ứng dụng web cho phép tự động đăng nhập người dùng mà không tuân theo tất cả các bước kiểm tra an ninh nói trên, qua đó các hacker có thể lợi dụng để thực hiện các cuộc tấn công brute force.

Hệ thống chứng thực dịch vụ web (web services authentication systems) còn được biết đến với định danh “ config/isp_verify_user” là một ứng dụng web được rất nhiều dịch vụ web của Yahoo sử dụng để chứng thực người sử dụng của mình. Khi người sử dụng nhập thông tin đăng nhập qua trình duyệt, họ sẽ nhận được các kết quả tương ứng:

Giá trị trả về	Ý nghĩa
ERROR:210:Required fields missing	Thông tin nhập vào chưa đầy đủ
ERROR:102:Invalid Login	Tài khoản không tồn tại trên hệ thống
ERROR:101:Invalid Password	Mật khẩu không chính xác
OK:0:username	Đăng nhập thành công

Với những thông tin này, hacker hoàn toàn có thể thực hiện một cuộc tấn công brute focre để quét được mật khẩu của người sử dụng bất kì qua nhiều cách khác nhau. Bên cạnh đó, hệ thống quản lý mật khẩu của Yahoo chỉ yêu cầu người dùng đặt mật khẩu có độ dài tối thiểu 6 kí tự và cho phép đặt những mật khẩu đơn giản dễ bị đoán như “123456” hay “abcdef”... Trên thực tế, rất nhiều người dùng sử dụng các mật khẩu đơn giản cho tài khoản email của mình.. Điều này, giúp cho hacker dễ dàng thành công hơn trong các cuộc tấn công.

3. Khuyến cáo

Hiện tại Yahoo chưa đưa ra giải pháp nào cho vấn đề này. Vì vậy, chúng tôi khuyến cáo những người sử dụng các dịch vụ của Yahoo đặt mật khẩu mạnh (mật khẩu bao gồm chữ hoa, chữ thường, kí tự số và dài ít nhất 8 kí tự). Các bạn có thể tham khảo hướng dẫn sử dụng mật khẩu hiệu quả tại đây.

Chuyên viên phân tích: Trương Thảo Nguyên



	Design by Dos.vn