Satya Nadella, giám đốc điều hành của Microsoft Corp., tạm dừng khi phát biểu trong một sự kiện về sản phẩm của Microsoft ở New York, Hoa Kỳ, vào thứ Tư, ngày 2 tháng 10 năm 2019.Mark Kauzlarich | Bloomberg | Cơ quan An ninh Quốc gia đã cảnh báo Microsoft trong những tuần gần đây về một vấn đề nghiêm trọng ảnh hưởng đến hệ điều hành Windows 10 của họ, phổ biến trong các công ty và trong số người tiêu dùng, hai quan chức an ninh mạng liên bang cấp cao nói với CNBC. Lỗ hổng ảnh hưởng đến mã hóa chữ ký số được sử dụng để xác thực nội dung, bao gồm cả phần mềm. hoặc các tệp. Nếu bị khai thác, lỗ hổng này có thể cho phép bọn tội phạm gửi nội dung độc hại với chữ ký giả mạo khiến nó có vẻ an toàn. Phát hiện này đã được báo cáo trước đó bởi The Washington Post. "Nhìn chung, việc vá lỗi như thế này luôn quan trọng, nhưng thực tế là NSA là cơ quan đã tiết lộ điều này cho Microsoft cũng như cho nó tầm quan trọng hơn", Satnam Narang nói, một kỹ sư nghiên cứu cấp cao của công ty an ninh mạng Tenable. Những kẻ tấn công thường sẽ đánh cắp chứng chỉ bảo mật để gửi cho nạn nhân một tệp độc hại có vẻ đáng tin cậy, nhưng với lỗ hổng này, kẻ tấn công có thể chỉ cần giả mạo chứng chỉ Microsoft, khiến quá trình này trở nên dễ dàng hơn nhiều, Narang cho biết. NSA đã biết về lỗ hổng này trước khi báo cáo cho Microsoft. Tuy nhiên, sự hợp tác này xuất phát từ những tương tác trong quá khứ giữa NSA và các nhà phát triển phần mềm lớn như Microsoft. Trong quá khứ, cơ quan bảo mật hàng đầu đã giữ bí mật một số lỗ hổng bảo mật lớn để sử dụng chúng như một phần của kho vũ khí công nghệ của Hoa Kỳ. Trong một tuyên bố, Microsoft từ chối xác nhận hoặc cung cấp thêm chi tiết. "Chúng tôi tuân theo các nguyên tắc phối hợp tiết lộ lỗ hổng bảo mật là phương pháp hay nhất trong ngành để bảo vệ khách hàng của chúng tôi khỏi các lỗ hổng bảo mật được báo cáo. Để ngăn chặn rủi ro không cần thiết cho khách hàng, các nhà nghiên cứu bảo mật và nhà cung cấp không thảo luận chi tiết về các lỗ hổng được báo cáo trước khi có bản cập nhật." Jones, một giám đốc cấp cao của Microsoft cho biết trong một tuyên bố hôm thứ Ba: "Những khách hàng đã áp dụng bản cập nhật hoặc đã bật cập nhật tự động, đã được bảo vệ. Như mọi khi, chúng tôi khuyến khích khách hàng cài đặt tất cả các bản cập nhật bảo mật càng sớm càng tốt." Microsoft nói với CNBC rằng họ chưa thấy bất kỳ sự khai thác nào về lỗ hổng "trong tự nhiên", có nghĩa là bên ngoài môi trường thử nghiệm trong phòng thí nghiệm. "Tôi muốn nhấn mạnh rằng thông tin này vừa mới giảm trong giờ trước và nó vẫn còn khá mới. Vì vậy, chúng tôi đang cố gắng nắm bắt đầy đủ cách điều này đóng vai trò quan trọng trong kế hoạch lớn của mọi thứ, "Narang tại Tenable, người đã viết thêm về lỗ hổng trong một bài đăng trên blog ngày hôm nay. "Trong một kế hoạch lớn của mọi thứ, đây chỉ là một công cụ khác trong hộp công cụ dành cho những kẻ tấn công". Theo dõi @CNBCtech trên Twitter để biết tin tức mới nhất về ngành công nghệ......... Ai đang theo dõi bạn trực tuyến? Power Lunch