WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft phát hành bản cập nhật định kỳ vá 58 lỗ hổng
Microsoft vừa giải quyết 58 lỗ hổng trong bản cập nhật Patch Tuesday tháng 12 năm 2020, nâng tổng bản vá lỗi trong năm nay của mình lên 1.250 - vượt xa con số 840 của năm 2019.
Các lỗi được vá trong tháng này ảnh hưởng đến Microsoft Windows, Edge (dựa trên EdgeHTML), ChakraCore, Microsoft Office, Office Services và Web Apps, Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK và Azure Sphere.
Không lỗ hổng nào được liệt kê là đã được biết đến công khai hoặc đang bị khai thác. Cũng không có lỗ hổng nào có điểm CVSSv3 từ 9,0 trở lên.
Ba trong số các lỗ hổng nghiêm trọng được tìm thấy trong Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 và CVE-2020-17142), tất cả đều cho phép thực thi mã từ xa (RCE). Một lỗi là do xác thực không đúng các đối số lệnh ghép ngắn. Microsoft không cung cấp kịch bản tấn công nhưng lưu ý kẻ tấn công cần được xác thực bằng các đặc quyền.
“Điều này cho thấy nếu bạn tiếp quản hộp thư của ai đó, bạn có thể tiếp quản toàn bộ máy chủ Exchange”, theo Dustin Childs của Trend Micro’s Zero Day Initiative (ZDI).
Childs cũng lưu ý CVE-2020-17121, một trong hai lỗi RCE quan trọng trong Microsoft SharePoint (lỗi còn lại là CVE-2020-17118). Được báo cáo ban đầu qua chương trình ZDI, lỗi này có thể cho phép người dùng được xác thực thực thi mã .NET tùy ý trên máy chủ bị ảnh hưởng trong ngữ cảnh của tài khoản dịch vụ SharePoint Web Application.
Một lỗi quan trọng khác là CVE-2020-17095, lỗ hổng Hyper-V RCE cho phép kẻ tấn công nâng cao đặc quyền từ thực thi mã trên máy khách Hyper-V sang thực thi mã trên máy chủ Hyper-V bằng cách chuyển gói dữ liệu vSMB không hợp lệ. Lỗ hổng có điểm CVSS 8,5 vì không cần quyền đặc biệt để khai thác. Lỗ hổng này tồn tại trên hầu hết các phiên bản Windows 10 và Windows Server 2004 trở về sau.
Bản cập nhật cũng giải quyết hai lỗ hổng RCE sau xác thực trong Microsoft Dynamics 365 cho Finance và Operations (CVE-2020-17158 và CVE-2020-17152), cùng với lỗi bộ nhớ trong Chakra Scripting Engine, tác động đến trình duyệt Edge (CVE-2020-17131).
Justin Knapp, nhà nghiên cứu tại Automox, cho biết, mặc dù tháng này ít lỗi hơn so với bình thường nhưng các lỗi RCE quan trọng mang lại rất nhiều rủi ro.
“Thay vì phải thao túng người dùng nhấp vào liên kết hoặc tệp đính kèm độc hại, kẻ xấu chỉ cần nhắm mục tiêu vào một hệ thống chưa được vá để có được quyền truy cập ban đầu. Tốc độ một tổ chức có thể triển khai các bản vá lỗi sẽ quyết định mức độ rủi ro mà họ phải chịu”.
Ngoài các lỗi nghiêm trọng, có 46 lỗi được đánh giá là quan trọng và 3 lỗi được đánh giá ở mức độ vừa phải. Các lỗi quan trọng bao gồm 10 lỗi trong Office ảnh hưởng đến Outlook, PowerPoint và Excel - với những lỗi này, phiên bản Office 2019 dành cho Mac chưa có bản vá.
Các lỗi được vá trong tháng này ảnh hưởng đến Microsoft Windows, Edge (dựa trên EdgeHTML), ChakraCore, Microsoft Office, Office Services và Web Apps, Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK và Azure Sphere.
Không lỗ hổng nào được liệt kê là đã được biết đến công khai hoặc đang bị khai thác. Cũng không có lỗ hổng nào có điểm CVSSv3 từ 9,0 trở lên.
Ba trong số các lỗ hổng nghiêm trọng được tìm thấy trong Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 và CVE-2020-17142), tất cả đều cho phép thực thi mã từ xa (RCE). Một lỗi là do xác thực không đúng các đối số lệnh ghép ngắn. Microsoft không cung cấp kịch bản tấn công nhưng lưu ý kẻ tấn công cần được xác thực bằng các đặc quyền.
“Điều này cho thấy nếu bạn tiếp quản hộp thư của ai đó, bạn có thể tiếp quản toàn bộ máy chủ Exchange”, theo Dustin Childs của Trend Micro’s Zero Day Initiative (ZDI).
Childs cũng lưu ý CVE-2020-17121, một trong hai lỗi RCE quan trọng trong Microsoft SharePoint (lỗi còn lại là CVE-2020-17118). Được báo cáo ban đầu qua chương trình ZDI, lỗi này có thể cho phép người dùng được xác thực thực thi mã .NET tùy ý trên máy chủ bị ảnh hưởng trong ngữ cảnh của tài khoản dịch vụ SharePoint Web Application.
Một lỗi quan trọng khác là CVE-2020-17095, lỗ hổng Hyper-V RCE cho phép kẻ tấn công nâng cao đặc quyền từ thực thi mã trên máy khách Hyper-V sang thực thi mã trên máy chủ Hyper-V bằng cách chuyển gói dữ liệu vSMB không hợp lệ. Lỗ hổng có điểm CVSS 8,5 vì không cần quyền đặc biệt để khai thác. Lỗ hổng này tồn tại trên hầu hết các phiên bản Windows 10 và Windows Server 2004 trở về sau.
Bản cập nhật cũng giải quyết hai lỗ hổng RCE sau xác thực trong Microsoft Dynamics 365 cho Finance và Operations (CVE-2020-17158 và CVE-2020-17152), cùng với lỗi bộ nhớ trong Chakra Scripting Engine, tác động đến trình duyệt Edge (CVE-2020-17131).
Justin Knapp, nhà nghiên cứu tại Automox, cho biết, mặc dù tháng này ít lỗi hơn so với bình thường nhưng các lỗi RCE quan trọng mang lại rất nhiều rủi ro.
“Thay vì phải thao túng người dùng nhấp vào liên kết hoặc tệp đính kèm độc hại, kẻ xấu chỉ cần nhắm mục tiêu vào một hệ thống chưa được vá để có được quyền truy cập ban đầu. Tốc độ một tổ chức có thể triển khai các bản vá lỗi sẽ quyết định mức độ rủi ro mà họ phải chịu”.
Ngoài các lỗi nghiêm trọng, có 46 lỗi được đánh giá là quan trọng và 3 lỗi được đánh giá ở mức độ vừa phải. Các lỗi quan trọng bao gồm 10 lỗi trong Office ảnh hưởng đến Outlook, PowerPoint và Excel - với những lỗi này, phiên bản Office 2019 dành cho Mac chưa có bản vá.
Theo Threatpost