WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Bản cập nhật định kỳ tháng 4: Microsoft vá 4 lỗi đang bị khai thác trong thực tế
Microsoft vừa phát hành bản cập nhật an ninh Patch Tuesday tháng 4/2020, vá tổng cộng 113 lỗ hổng. Trong số này, 19 lỗi được đánh giá nghiêm trọng, 94 lỗi quan trọng. Đặc biệt, có bốn lỗ hổng đang bị khai thác trong thực tế và hai lỗi đã được tiết lộ công khai trước đó.
Bản cập nhật bao gồm bản vá cho Microsoft Windows, Microsoft Edge (phiên bản dựa trên EdgeHTML và Chromium), ChakraCore, Internet Explorer, Microsoft Office, Microsoft Office Services, Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics và Microsoft Apps cho Android và Mac. Đây đều là bản vá cho các lỗ hổng có thể tiết lộ thông tin, cho phép leo thang đặc quyền, thực thi mã từ xa (RCE) và XSS.
Các lỗi đang bị khai thác trong thực tế
Lỗi zero-day đầu tiên (CVE-2020-0968) là một lỗi bộ nhớ nghiêm trọng trong Internet Explorer đã được khai thác trong thực tế. Lỗi này cho phép RCE và tồn tại do việc xử lý không đúng đối tượng trong bộ nhớ của scripting engine (trình thông dịch).
Theo các chuyên gia, có rất nhiều kịch bản để khai thác lỗ hổng này, có thể là lừa người dùng truy cập vào một trang web có chứa mã độc hoặc lừa người dùng mở tài liệu Microsoft Office độc hại có nhúng mã độc.
“Nếu người dùng hiện tại đăng nhập với tư cách quản trị viên, một khi được điều hướng đến trang web độc hại, kẻ tấn công có thể khai thác lỗi này để truy cập máy chủ từ xa, cho phép xem, thay đổi, xóa dữ liệu hoặc thậm chí cài đặt ransomware”.
Mặc dù phạm vi của lỗ hổng này có phần hạn chế vì IE đang giảm dần cơ sở người dùng, nó vẫn là một phương thức hấp dẫn cho tội phạm mạng.
Hai lỗi đang bị khai thác khác là các vấn đề RCE quan trọng liên quan đến Thư viện Trình quản lý Adobe Type của Windows.
Lỗi đầu tiên, CVE-2020-1020, đã được công khai. Lỗi này phát sinh do thư viện xử lý không đúng phông chữ Adobe Type 1 PostScript.
“Kẻ tấn công có thể sử dụng lỗ hổng này để thực thi mã trên các hệ thống bị ảnh hưởng nếu có thể thuyết phục người dùng xem một phông chữ được tạo đặc biệt. Mã sẽ chạy ở cấp độ của người dùng đã đăng nhập”, theo Zero Day Initiative.
Lỗi zero-day tiếp theo là CVE-2020-0938, một lỗ hổng RCE ảnh hưởng đến trình kết xuất phông chữ OpenType trong Windows. Một lần nữa, kẻ tấn công có thể thực thi mã trên hệ thống mục tiêu nếu người dùng xem một phông chữ độc hại.
Mặc dù hai lỗi này có liên quan với nhau, hiện tại vẫn chưa có xác nhận nào cho thấy hai lỗi này được sử dụng trong cùng một cuộc tấn công. Để khai thác các lỗ hổng này, kẻ tấn công cần phải lừa người dùng mở một tài liệu độc hại hoặc xem tài liệu trong chế độ Windows Preview.
Cả hai lỗi này đều được sử dụng để nhắm vào các hệ thống Windows 7, trong khi không phải tất cả các hệ thống Windows 7 sẽ nhận được bản vá kể từ khi Microsoft ngừng hỗ trợ hệ điều hành này từ tháng 1 năm nay.
Lỗi được khai thác cuối cùng là CVE-2020-1027, tồn tại trong cách Windows Kernel xử lý các đối tượng trong bộ nhớ. Khai thác thành công lỗ hổng, kẻ tấn công có thể thực thi mã với các quyền nâng cao. Lỗi này được Microsoft đánh giá quan trọng.
Để khai thác lỗ hổng, kẻ tấn công được xác thực cục bộ sẽ cần phải chạy một ứng dụng được chế tạo đặc biệt.
Các bản vá được ưu tiên khác
Microsoft cũng đã vá một số lỗi đáng chú ý khác mà các nhà nghiên cứu cho rằng các quản trị viên nên ưu tiên trong bản cập nhật lần này.
CVE-2020-0935 là một lỗ hổng nâng cao đặc quyền, được xếp hạng quan trọng, trong OneDrive cho Windows. Lỗ hổng tồn tại do xử lý không đúng các liên kết shortcut và việc khai thác cho phép kẻ tấn công xâm nhập sâu vào hệ thống, thực hiện các payload bổ sung hoặc giành quyền truy cập vào thông tin cá nhân hoặc bí mật vốn trước đó không thể tiếp cận.
“Một kẻ tấn công đã giành được quyền truy cập vào thiết bị có thể sử dụng OneDrive để ghi đè lên một tệp được nhắm mục tiêu, từ đó nâng cao đặc quyền. OneDrive cực kỳ phổ biến và thường được cài mặc định trên Windows 10”, Chris Hass, Giám đốc an ninh thông tin tại Automox cho biết.
Childs của ZDI cũng xếp hạng quan trọng một lỗi từ chối dịch vụ DNS (DoS) của Windows DNS, CVE-2020-0993, ảnh hưởng đến các hệ thống máy khách.
“Một kẻ tấn công có thể làm cho dịch vụ DNS không phản hồi bằng cách gửi một số truy vấn DNS đặc biệt đến một hệ thống bị ảnh hưởng. Dựa trên các thiệt hại có thể gây ra bởi một kẻ tấn công không được xác thực, lỗi này cần được ưu tiên trong danh sách các bản vá cần được xử lý”
Một lỗi khác, CVE-2020-0981, là một lỗi vượt qua tính năng an ninh token của Windows được đánh giá quan trọng. Lỗ hổng xuất phát từ việc Windows xử lý không đúng các mối quan hệ token trong Windows 10 phiên bản 1903 trở lên.
Các lỗi SharePoint nghiêm trọng
SharePoint, một nền tảng cộng tác dựa trên web tích hợp với Microsoft Office, thường được sử dụng làm hệ thống lưu trữ và quản lý tài liệu. Trong tháng này, SharePoint vá bốn lỗi RCE nghiêm trọng, xuất phát từ việc phần mềm không kiểm tra markup (đánh dấu) nguồn của gói ứng dụng.
Lỗi đầu tiên (CVE-2020-0929) có thể dẫn đến tấn công RCE và ảnh hưởng đến Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2010 Service Pack 2, Microsoft SharePoint Foundation 2013 Service Pack 1 và Microsoft SharePoint Server 2019.
Lỗi nghiêm trọng thứ hai (CVE-2020-0931) cũng cho phép tấn công RCE, ảnh hưởng đến Microsoft Business Productivity Servers 2010 Service Pack 2, Microsoft SharePoint Enterprise Server 2013 Service Pack 1, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 và Microsoft SharePoint Server 2019.
Một vấn đề RCE khác (CVE-2020-0932) ảnh hưởng đến Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 và Microsoft SharePoint Server 2019; và CVE-2020-0974 ảnh hưởng đến Microsoft SharePoint Enterprise Server 2016 và Microsoft SharePoint Server 2019.
Với tất cả các lỗi RCE, khai thác thành công kẻ tấn công có thể chạy mã tùy ý trong bối cảnh nhóm ứng dụng SharePoint và tài khoản server farm (vùng mạng server) SharePoint. Kẻ tấn công có thể khai thác bất kỳ lỗi này bằng cách tải gói ứng dụng SharePoint được chế tạo đặc biệt lên phiên bản SharePoint bị ảnh hưởng.
SharePoint cũng tồn tại một lỗi nghiêm trọng thứ năm, CVE-2020-0927. Đây là một lỗ hổng XSS ảnh hưởng đến Microsoft SharePoint Server 2019 và Enterprise Server 2016 và sẽ cho phép tấn công mạo danh.
Người dùng Windows và quản trị viên được khuyến cáo cập nhật bản vá mới nhất của Microsoft càng sớm càng tốt, nhất là trong bối cảnh người người làm việc tại nhà để đối phó với đại dịch Covid-19.
Để cài đặt các bản cập nhật Windows mới nhất, bạn có thể vào Settings → Update & Security → Windows Update → Check for updates trên máy tính của bạn hoặc cài đặt theo cách thủ công.
Bản cập nhật bao gồm bản vá cho Microsoft Windows, Microsoft Edge (phiên bản dựa trên EdgeHTML và Chromium), ChakraCore, Internet Explorer, Microsoft Office, Microsoft Office Services, Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics và Microsoft Apps cho Android và Mac. Đây đều là bản vá cho các lỗ hổng có thể tiết lộ thông tin, cho phép leo thang đặc quyền, thực thi mã từ xa (RCE) và XSS.
Các lỗi đang bị khai thác trong thực tế
Lỗi zero-day đầu tiên (CVE-2020-0968) là một lỗi bộ nhớ nghiêm trọng trong Internet Explorer đã được khai thác trong thực tế. Lỗi này cho phép RCE và tồn tại do việc xử lý không đúng đối tượng trong bộ nhớ của scripting engine (trình thông dịch).
Theo các chuyên gia, có rất nhiều kịch bản để khai thác lỗ hổng này, có thể là lừa người dùng truy cập vào một trang web có chứa mã độc hoặc lừa người dùng mở tài liệu Microsoft Office độc hại có nhúng mã độc.
“Nếu người dùng hiện tại đăng nhập với tư cách quản trị viên, một khi được điều hướng đến trang web độc hại, kẻ tấn công có thể khai thác lỗi này để truy cập máy chủ từ xa, cho phép xem, thay đổi, xóa dữ liệu hoặc thậm chí cài đặt ransomware”.
Mặc dù phạm vi của lỗ hổng này có phần hạn chế vì IE đang giảm dần cơ sở người dùng, nó vẫn là một phương thức hấp dẫn cho tội phạm mạng.
Hai lỗi đang bị khai thác khác là các vấn đề RCE quan trọng liên quan đến Thư viện Trình quản lý Adobe Type của Windows.
Lỗi đầu tiên, CVE-2020-1020, đã được công khai. Lỗi này phát sinh do thư viện xử lý không đúng phông chữ Adobe Type 1 PostScript.
“Kẻ tấn công có thể sử dụng lỗ hổng này để thực thi mã trên các hệ thống bị ảnh hưởng nếu có thể thuyết phục người dùng xem một phông chữ được tạo đặc biệt. Mã sẽ chạy ở cấp độ của người dùng đã đăng nhập”, theo Zero Day Initiative.
Lỗi zero-day tiếp theo là CVE-2020-0938, một lỗ hổng RCE ảnh hưởng đến trình kết xuất phông chữ OpenType trong Windows. Một lần nữa, kẻ tấn công có thể thực thi mã trên hệ thống mục tiêu nếu người dùng xem một phông chữ độc hại.
Mặc dù hai lỗi này có liên quan với nhau, hiện tại vẫn chưa có xác nhận nào cho thấy hai lỗi này được sử dụng trong cùng một cuộc tấn công. Để khai thác các lỗ hổng này, kẻ tấn công cần phải lừa người dùng mở một tài liệu độc hại hoặc xem tài liệu trong chế độ Windows Preview.
Cả hai lỗi này đều được sử dụng để nhắm vào các hệ thống Windows 7, trong khi không phải tất cả các hệ thống Windows 7 sẽ nhận được bản vá kể từ khi Microsoft ngừng hỗ trợ hệ điều hành này từ tháng 1 năm nay.
Lỗi được khai thác cuối cùng là CVE-2020-1027, tồn tại trong cách Windows Kernel xử lý các đối tượng trong bộ nhớ. Khai thác thành công lỗ hổng, kẻ tấn công có thể thực thi mã với các quyền nâng cao. Lỗi này được Microsoft đánh giá quan trọng.
Để khai thác lỗ hổng, kẻ tấn công được xác thực cục bộ sẽ cần phải chạy một ứng dụng được chế tạo đặc biệt.
Các bản vá được ưu tiên khác
Microsoft cũng đã vá một số lỗi đáng chú ý khác mà các nhà nghiên cứu cho rằng các quản trị viên nên ưu tiên trong bản cập nhật lần này.
CVE-2020-0935 là một lỗ hổng nâng cao đặc quyền, được xếp hạng quan trọng, trong OneDrive cho Windows. Lỗ hổng tồn tại do xử lý không đúng các liên kết shortcut và việc khai thác cho phép kẻ tấn công xâm nhập sâu vào hệ thống, thực hiện các payload bổ sung hoặc giành quyền truy cập vào thông tin cá nhân hoặc bí mật vốn trước đó không thể tiếp cận.
“Một kẻ tấn công đã giành được quyền truy cập vào thiết bị có thể sử dụng OneDrive để ghi đè lên một tệp được nhắm mục tiêu, từ đó nâng cao đặc quyền. OneDrive cực kỳ phổ biến và thường được cài mặc định trên Windows 10”, Chris Hass, Giám đốc an ninh thông tin tại Automox cho biết.
Childs của ZDI cũng xếp hạng quan trọng một lỗi từ chối dịch vụ DNS (DoS) của Windows DNS, CVE-2020-0993, ảnh hưởng đến các hệ thống máy khách.
“Một kẻ tấn công có thể làm cho dịch vụ DNS không phản hồi bằng cách gửi một số truy vấn DNS đặc biệt đến một hệ thống bị ảnh hưởng. Dựa trên các thiệt hại có thể gây ra bởi một kẻ tấn công không được xác thực, lỗi này cần được ưu tiên trong danh sách các bản vá cần được xử lý”
Một lỗi khác, CVE-2020-0981, là một lỗi vượt qua tính năng an ninh token của Windows được đánh giá quan trọng. Lỗ hổng xuất phát từ việc Windows xử lý không đúng các mối quan hệ token trong Windows 10 phiên bản 1903 trở lên.
Các lỗi SharePoint nghiêm trọng
SharePoint, một nền tảng cộng tác dựa trên web tích hợp với Microsoft Office, thường được sử dụng làm hệ thống lưu trữ và quản lý tài liệu. Trong tháng này, SharePoint vá bốn lỗi RCE nghiêm trọng, xuất phát từ việc phần mềm không kiểm tra markup (đánh dấu) nguồn của gói ứng dụng.
Lỗi đầu tiên (CVE-2020-0929) có thể dẫn đến tấn công RCE và ảnh hưởng đến Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2010 Service Pack 2, Microsoft SharePoint Foundation 2013 Service Pack 1 và Microsoft SharePoint Server 2019.
Lỗi nghiêm trọng thứ hai (CVE-2020-0931) cũng cho phép tấn công RCE, ảnh hưởng đến Microsoft Business Productivity Servers 2010 Service Pack 2, Microsoft SharePoint Enterprise Server 2013 Service Pack 1, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 và Microsoft SharePoint Server 2019.
Một vấn đề RCE khác (CVE-2020-0932) ảnh hưởng đến Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1 và Microsoft SharePoint Server 2019; và CVE-2020-0974 ảnh hưởng đến Microsoft SharePoint Enterprise Server 2016 và Microsoft SharePoint Server 2019.
Với tất cả các lỗi RCE, khai thác thành công kẻ tấn công có thể chạy mã tùy ý trong bối cảnh nhóm ứng dụng SharePoint và tài khoản server farm (vùng mạng server) SharePoint. Kẻ tấn công có thể khai thác bất kỳ lỗi này bằng cách tải gói ứng dụng SharePoint được chế tạo đặc biệt lên phiên bản SharePoint bị ảnh hưởng.
SharePoint cũng tồn tại một lỗi nghiêm trọng thứ năm, CVE-2020-0927. Đây là một lỗ hổng XSS ảnh hưởng đến Microsoft SharePoint Server 2019 và Enterprise Server 2016 và sẽ cho phép tấn công mạo danh.
Người dùng Windows và quản trị viên được khuyến cáo cập nhật bản vá mới nhất của Microsoft càng sớm càng tốt, nhất là trong bối cảnh người người làm việc tại nhà để đối phó với đại dịch Covid-19.
Để cài đặt các bản cập nhật Windows mới nhất, bạn có thể vào Settings → Update & Security → Windows Update → Check for updates trên máy tính của bạn hoặc cài đặt theo cách thủ công.
Theo Threatpost