WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Patch Tuesday tháng 1/2019 của Microsoft tập trung vào lỗi thực thi mã từ xa
Bản cập nhật Patch Tuesday đầu tiên năm 2019 của Microsoft chủ yếu khắc phục các lỗ hổng thực thi mã từ xa (RCE), với gần một nửa trong tổng số 49 lỗi được vá tập trung vào RCE. Các doanh nghiệp cũng được khuyến cáo cập nhật bản vá hồi tháng 12/2018 cho Internet Explorer sau các cuộc tấn công trong thực tế.
Bảy lỗ hổng được xếp hạng Nghiêm trọng, 40 lỗ hổng Quan trọng và hai lỗi mức Trung bình. Các bản vá lỗi được phát hành cho Internet Explorer, Microsoft Edge, Windows, Office, Office Services và Web Apps, ChakraCore, Visual Studio và .NET Framework.
Như chuyên gia Dustin Childs của Trend Micro chỉ ra trong một bài đăng trên blog, số lỗ hổng RCE chiếm một nửa số lỗi được xử lý cho tháng 1 năm 2019. Mười một lỗ hổng trong số này liên quan đến hệ quản trị cơ sở dữ liệu Jet Database Engine. Một lỗ hổng (CVE-2019-0579) đã được biết đến công khai và được xếp hạng Quan trọng. Microsoft cho biết khai thác lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống nạn nhân. Điều này đòi hỏi tương tác của người dùng; đối tượng mục tiêu sẽ phải mở một file được tạo đặc biệt để thực thi.
Mặc dù chỉ được đánh giá quan trọng, nhưng việc tiết lộ lỗ hổng này có nghĩa là kẻ tấn công có thể phát triển bộ khai thác lỗ hổng dễ dàng hơn.
Cũng được ưu tiên cao là CVE-2019-0547, một lỗ hổng RCE trong máy khách Windows DHCP. Một lỗi bộ nhớ tồn tại trong máy khách khi kẻ tấn công gửi phản hồi DHCP được tạo đặc biệt cho máy khách. Khai thác thành công sẽ cho phép kẻ tấn công thực thi mã tùy ý trên máy khách.
Childs cho biết: "Microsoft đánh giá chỉ số khai thác Exploit Index cao nhất, có nghĩa là lỗi này có khả năng khai thác cao". Ông lưu ý rằng lỗ hổng này nằm trong phiên bản Windows mới nhất nhưng không có trong các phiên bản trước đó, có thể là do thành phần được viết lại cho các hệ thống mới hơn.
"Nếu bạn đang chạy Windows 10 hoặc Server phiên bản 1803, bản vá này phải đứng đầu danh sách triển khai của bạn", Childs viết.
Một lỗi Office khác (CVE-2019-0560), được tìm thấy bởi Mimecast, có thể cho phép rò rỉ dữ liệu ngoài ý muốn trong các tài liệu và tệp Office được tạo trước đó. Mặc dù khó sử dụng nó như một lỗ hổng thực thi mã, nhưng nó có thể được sử dụng để thu thập dữ liệu mà người dùng vô tình để lộ.
"Mặc dù chắc chắn có thể khai thác lỗ hổng này để thực hiện một cuộc tấn công thực thi từ xa, nhưng điều này sẽ đòi hỏi chuyên môn kỹ thuật tương đối cao từ phía kẻ tấn công", Matthew Gardiner, chiến lược gia an ninh tại Mimecast cho biết.
Đáng chú ý trong tháng này là CVE-2018-8653, một bản vá lỗi out-of-band (lỗi ngoài dải băng tần) được Microsoft ban hành cho một lỗi bộ nhớ trong Internet Explorer vào tháng 12 năm 2018. Microsoft cho biết, khai thác lỗ hổng này kẻ tấn công có thể thực thi mã tùy ý trong ngữ cảnh người dùng hiện tại và có được quyền tương tự như của người dùng.
"Lỗ hổng tiếp tục được khai thác trong thực tế và công ty công nghệ Recorded Future đã chứng kiến một số bộ công cụ khai thác cùng các proof of concept được phát hành trên nền tảng của họ", Allan Liska, kiến trúc sư giải pháp cao cấp của Recorded Future cho biết. "Nếu bạn chưa vá lỗ hổng này, nó sẽ là ưu tiên số 1”.
Bảy lỗ hổng được xếp hạng Nghiêm trọng, 40 lỗ hổng Quan trọng và hai lỗi mức Trung bình. Các bản vá lỗi được phát hành cho Internet Explorer, Microsoft Edge, Windows, Office, Office Services và Web Apps, ChakraCore, Visual Studio và .NET Framework.
Như chuyên gia Dustin Childs của Trend Micro chỉ ra trong một bài đăng trên blog, số lỗ hổng RCE chiếm một nửa số lỗi được xử lý cho tháng 1 năm 2019. Mười một lỗ hổng trong số này liên quan đến hệ quản trị cơ sở dữ liệu Jet Database Engine. Một lỗ hổng (CVE-2019-0579) đã được biết đến công khai và được xếp hạng Quan trọng. Microsoft cho biết khai thác lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống nạn nhân. Điều này đòi hỏi tương tác của người dùng; đối tượng mục tiêu sẽ phải mở một file được tạo đặc biệt để thực thi.
Mặc dù chỉ được đánh giá quan trọng, nhưng việc tiết lộ lỗ hổng này có nghĩa là kẻ tấn công có thể phát triển bộ khai thác lỗ hổng dễ dàng hơn.
Cũng được ưu tiên cao là CVE-2019-0547, một lỗ hổng RCE trong máy khách Windows DHCP. Một lỗi bộ nhớ tồn tại trong máy khách khi kẻ tấn công gửi phản hồi DHCP được tạo đặc biệt cho máy khách. Khai thác thành công sẽ cho phép kẻ tấn công thực thi mã tùy ý trên máy khách.
Childs cho biết: "Microsoft đánh giá chỉ số khai thác Exploit Index cao nhất, có nghĩa là lỗi này có khả năng khai thác cao". Ông lưu ý rằng lỗ hổng này nằm trong phiên bản Windows mới nhất nhưng không có trong các phiên bản trước đó, có thể là do thành phần được viết lại cho các hệ thống mới hơn.
"Nếu bạn đang chạy Windows 10 hoặc Server phiên bản 1803, bản vá này phải đứng đầu danh sách triển khai của bạn", Childs viết.
Một lỗi Office khác (CVE-2019-0560), được tìm thấy bởi Mimecast, có thể cho phép rò rỉ dữ liệu ngoài ý muốn trong các tài liệu và tệp Office được tạo trước đó. Mặc dù khó sử dụng nó như một lỗ hổng thực thi mã, nhưng nó có thể được sử dụng để thu thập dữ liệu mà người dùng vô tình để lộ.
"Mặc dù chắc chắn có thể khai thác lỗ hổng này để thực hiện một cuộc tấn công thực thi từ xa, nhưng điều này sẽ đòi hỏi chuyên môn kỹ thuật tương đối cao từ phía kẻ tấn công", Matthew Gardiner, chiến lược gia an ninh tại Mimecast cho biết.
Đáng chú ý trong tháng này là CVE-2018-8653, một bản vá lỗi out-of-band (lỗi ngoài dải băng tần) được Microsoft ban hành cho một lỗi bộ nhớ trong Internet Explorer vào tháng 12 năm 2018. Microsoft cho biết, khai thác lỗ hổng này kẻ tấn công có thể thực thi mã tùy ý trong ngữ cảnh người dùng hiện tại và có được quyền tương tự như của người dùng.
"Lỗ hổng tiếp tục được khai thác trong thực tế và công ty công nghệ Recorded Future đã chứng kiến một số bộ công cụ khai thác cùng các proof of concept được phát hành trên nền tảng của họ", Allan Liska, kiến trúc sư giải pháp cao cấp của Recorded Future cho biết. "Nếu bạn chưa vá lỗ hổng này, nó sẽ là ưu tiên số 1”.
Theo Dark Reading