Lỗ Hổng MS Teams: Tài Khoản Khách Có Thể "Xóa Sổ" Thành Viên

Microsoft Teams hiện là "văn phòng ảo" của hàng triệu doanh nghiệp trên toàn cầu. Tuy nhiên, một phát hiện chấn động vừa được công bố trên The Hacker News cho thấy cánh cửa dành cho "Khách" (Guest Access) đang lỏng lẻo hơn chúng ta tưởng, đe dọa trực tiếp đến cấu trúc nhân sự của các tổ chức.

1. Khi "Khách" chiếm quyền "Chủ nhà"

Theo mặc định, tài khoản Khách (Guest) trong MS Teams chỉ có quyền hạn rất hạn chế: tham gia họp, chat và xem tài liệu được chia sẻ. Tuy nhiên, các nhà nghiên cứu bảo mật vừa tìm ra một lỗ hổng IDOR (Insecure Direct Object Reference) nghiêm trọng.
Lỗ hổng này cho phép một tài khoản Khách, thông qua việc can thiệp vào các API request (yêu cầu gửi đi), có thể thực hiện hành động vốn chỉ dành cho Admin (Quản trị viên): Xóa thành viên (Remove Users) khỏi nhóm hoặc thậm chí khỏi tổ chức (Tenant).
Điều này cực kỳ nguy hiểm. Hãy tưởng tượng một đối tác cũ hoặc một hacker xâm nhập vào tài khoản Guest và âm thầm "đá" các nhân viên chủ chốt ra khỏi hệ thống ngay trước các cuộc họp quan trọng, gây gián đoạn kinh doanh nghiêm trọng.

2. Cơ chế tấn công diễn ra như thế nào?

Lỗi nằm ở cách Microsoft Teams xác thực quyền hạn khi xử lý yêu cầu xóa người dùng.

• Bước 1: Kẻ tấn công đăng nhập bằng tài khoản Guest hợp lệ.
• Bước 2: Họ bắt gói tin (intercept request) gửi lên máy chủ khi thực hiện một hành động bình thường.
• Bước 3: Kẻ tấn công sửa đổi ID người dùng trong gói tin đó thành ID của nạn nhân mà họ muốn xóa.
• Bước 4: Do máy chủ thiếu bước kiểm tra lại quyền hạn (re-validate permissions) ở lớp cuối cùng, lệnh xóa được thực thi.

3. Doanh nghiệp cần làm gì ngay lúc này?

Hiện tại, Microsoft đã ghi nhận vấn đề và đang tung ra bản vá. Tuy nhiên, để đảm bảo an toàn tuyệt đối trong thời gian chờ đợi, các quản trị viên hệ thống (IT Admins) cần thực hiện ngay:

• Rà soát danh sách Guest: Kiểm tra lại toàn bộ tài khoản khách đang tồn tại trong hệ thống (Active Directory). Xóa ngay các tài khoản không còn hợp tác hoặc không rõ danh tính.
• Giới hạn quyền Guest: Vào trang quản trị (Admin Center), tắt tạm thời các quyền không cần thiết của nhóm Guest cho đến khi có thông báo cập nhật chính thức.
• Giám sát Log: Theo dõi chặt chẽ nhật ký hoạt động (Audit Logs) để phát hiện các hành vi xóa người dùng bất thường.

Kết luận
Lỗ hổng này là lời nhắc nhở đanh thép về nguyên tắc "Zero Trust" (Không tin ai tuyệt đối). Ngay cả những tính năng cơ bản như Guest Access cũng có thể trở thành vũ khí sắc bén nếu bị kẻ xấu lợi dụng. Hãy cập nhật hệ thống ngay lập tức để bảo vệ "ngôi nhà số" của doanh nghiệp bạn.