Tưởng tượng bạn khóa két sắt cất giữ tài sản quý giá, nhưng lại để chìa khóa ngay trên mặt bàn. Đó chính là điều Microsoft Edge đang làm với mật khẩu của người dùng. Một lỗ hổng bảo mật mới được công bố cho thấy trình duyệt phổ biến này lưu trữ mật khẩu trực tiếp trong bộ nhớ tiến trình (process memory), tạo ra cửa ngách cho tin tặc khai thác. Chúng tôi cho rằng đây là một sai lầm thiết kế nghiêm trọng có thể ảnh hưởng đến hàng triệu doanh nghiệp trên toàn cầu.

Khi trình duyệt trở thành kẻ phản bội

Proof-of-concept (PoC) - hay còn gọi là mã khai thác chứng minh khái niệm - đã được các nhà nghiên cứu bảo mật phát triển để minh họa cách thức tấn công. Điều đáng lo ngại là tin tặc chỉ cần có quyền quản trị (admin privileges) trên máy tính nạn nhân để có thể trích xuất toàn bộ mật khẩu được lưu trữ. Quá trình này diễn ra hoàn toàn im lặng, không để lại dấu vết cảnh báo nào cho người dùng.

Khác với các lỗ hổng thông thường cần phải khai thác từ xa, lỗ hổng này yêu cầu tin tặc phải có quyền truy cập vật lý hoặc đã xâm nhập thành công vào hệ thống. Tuy nhiên, trong môi trường doanh nghiệp, việc leo thang đặc quyền (privilege escalation) từ tài khoản người dùng thông thường lên admin không phải là điều quá khó khăn với những kẻ tấn công có kinh nghiệm.

Bộ nhớ tiến trình - kho báu bất đắc dĩ

Process memory hay bộ nhớ tiến trình là vùng RAM được hệ điều hành cấp phát cho một ứng dụng cụ thể khi chạy. Thông thường, dữ liệu nhạy cảm như mật khẩu sẽ được mã hóa mạnh mẽ và chỉ giải mã tạm thời khi cần thiết. Tuy nhiên, Microsoft Edge lại lưu trữ những thông tin này dưới dạng plain text hoặc mã hóa yếu trong bộ nhớ, khiến chúng có thể bị đọc bởi các tiến trình khác có đủ quyền hạn.

Chúng tôi đánh giá đây là một thiết kế thiếu an toàn nghiêm trọng. Trong khi các trình duyệt khác như Chrome hay Firefox đã áp dụng nhiều lớp bảo vệ cho dữ liệu nhạy cảm, Microsoft Edge dường như chưa triển khai đầy đủ các biện pháp này. Điều này đặc biệt nguy hiểm khi Edge đang được sử dụng rộng rãi trong môi trường doanh nghiệp Windows.

Cơn ác mộng của doanh nghiệp Việt Nam

Theo thống kê của StatCounter, Microsoft Edge chiếm khoảng 15% thị phần trình duyệt tại Việt Nam, chủ yếu trong các tổ chức, doanh nghiệp sử dụng hệ sinh thái Microsoft. Với lỗ hổng này, tin tặc có thể đánh cắp mật khẩu truy cập các hệ thống nội bộ, tài khoản ngân hàng điện tử, hoặc các dịch vụ cloud quan trọng. Một khi có được những thông tin này, chúng có thể thực hiện các cuộc tấn công tiếp theo như chuyển tiền trái phép, đánh cắp dữ liệu khách hàng, hoặc mã hóa ransomware.

Chúng tôi nhận thấy các doanh nghiệp Việt Nam thường có xu hướng sử dụng một trình duyệt duy nhất cho toàn bộ hoạt động công việc. Điều này tạo ra single point of failure (điểm lỗi đơn) cực kỳ nguy hiểm. Khi Edge bị tấn công thành công, toàn bộ hệ sinh thái số của doanh nghiệp có thể sụp đổ trong tích tắc.

Hành động ngay để bảo vệ doanh nghiệp

Trước mắt, các doanh nghiệp cần thực hiện ngay các biện pháp sau. Thứ nhất, hạn chế quyền admin trên các máy tính người dùng cuối, chỉ cấp khi thực sự cần thiết và thu hồi ngay sau khi hoàn thành tác vụ. Thứ hai, triển khai giải pháp Password Manager độc lập thay vì dựa hoàn toàn vào tính năng lưu mật khẩu của trình duyệt. Các công cụ như Bitwarden, 1Password hay LastPass sẽ cung cấp lớp bảo vệ mạnh mẽ hơn.

Về dài hạn, chúng tôi khuyến nghị áp dụng mô hình Zero Trust Security, trong đó không có tài khoản nào được tin tưởng mặc định. Triển khai Multi-Factor Authentication (MFA) cho tất cả các dịch vụ quan trọng, thường xuyên giám sát và phân tích log hệ thống để phát hiện sớm các hoạt động bất thường. Đồng thời, cần có kế hoạch ứng phó sự cố chi tiết và thực tập định kỳ để đảm bảo toàn bộ nhân viên biết cách xử lý khi xảy ra tấn công.