WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft phát hành bản vá cho 60 lỗ hổng - hai lỗi đã bị khai thác trong thực tế
Microsoft vừa phát hành bản cập nhật Patch Tuesday tháng 8/2018, vá tổng cộng 60 lỗ hổng, trong đó 19 lỗi được đánh giá nghiêm trọng.
Bản cập nhật tháng 8 vá các lỗi trong Microsoft Windows, Microsoft Edge, Internet Explorer, Office, ChakraCore, .NET Framework, Exchange Server, Microsoft SQL Server và Visual Studio.
Hai trong số các lỗ hổng này đã được công bố rộng rãi và bị khai thác trong thực tế tại thời điểm phát hành bản vá.
Theo Microsoft, tất cả 19 lỗ hổng được đánh giá nghiêm trọng đều dẫn đến thực thi mã từ xa (RCE), một số trong đó có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng nếu khai thác thành công.
Bên cạnh đó, Microsoft cũng giải quyết 39 lỗi quan trọng, một lỗi có mức độ nghiêm trọng vừa phải và một lỗi có mức độ nghiêm trọng thấp.
Dưới đây là chi tiết ngắn gọn về một số lỗ hổng nghiêm trọng và các lỗ hổng quan trọng đã bị khai thác:
Lỗi bộ nhớ trong Internet Explore (CVE-2018-8373)
Lỗ hổng đầu tiên đã bị khai thác trong thực tế là một lỗi thực thi mã từ xa nghiêm trọng, ảnh hưởng đến tất cả các phiên bản được hỗ trợ của Windows.
Internet Explorer 9, 10 và 11 đều bị ảnh hưởng bởi vấn đề lỗi bộ nhớ có thể cho phép kẻ tấn công từ xa kiểm soát các hệ thống bị ảnh hưởng chỉ bằng cách thuyết phục người dùng xem một trang web tự tạo đặc biệt thông qua Internet Explorer.
"Một kẻ tấn công cũng có thể nhúng một tùy chọn điều khiển ActiveX được đánh dấu "an toàn để khởi tạo" trong một ứng dụng hoặc tài liệu Microsoft Office lưu trữ công cụ hiển thị của IE", Microsoft cho biết.
Lỗi thực thi mã từ xa Windows Shell (CVE-2018-8414)
Lỗ hổng thứ hai được biết đến rộng rãi và đã bị khai thác nằm trong Windows Shell, bắt nguồn từ việc xác nhận không chính xác các đường dẫn tệp.
Mã tùy ý có thể được thực thi trên hệ thống mục tiêu bằng cách thuyết phục nạn nhân mở một tệp tự tạo đặc biệt nhận được qua email hoặc trang web.
Lỗi thực thi mã từ xa trong Microsoft SQL Server (CVE-2018-8273)
Microsoft SQL Server 2016 và 2017 bị ảnh hưởng bởi lỗ hổng tràn bộ đệm có thể bị khai thác từ xa bởi kẻ tấn công để thực thi mã tùy ý trong ngữ cảnh tài khoản dịch vụ SQL Server Database Engine.
Khai thác thành công lỗ hổng này yêu cầu kẻ tấn công từ xa gửi một truy vấn tự tạo đặc biệt tới một máy chủ SQL bị ảnh hưởng.
Lỗ hổng thực thi mã từ xa trong Windows PDF (CVE-2018-8350)
Các hệ thống Windows 10 với Microsoft Edge được đặt làm trình duyệt mặc định có thể bị xâm phạm chỉ bằng cách thuyết phục người dùng xem một trang web.
Do việc xử lý không đúng đối tượng trong bộ nhớ, thư viện PDF của Windows 10 có thể bị khai thác bởi kẻ tấn công từ xa để thực thi mã tùy ý trên hệ thống mục tiêu.
"Kẻ tấn công cũng có thể tận dụng các trang web bị xâm nhập hoặc trang web chấp nhận hoặc lưu trữ nội dung hoặc quảng cáo do người dùng cung cấp, bằng cách thêm nội dung PDF tự tạo đặc biệt vào các trang web như vậy", Microsoft cho biết.
"Chỉ các hệ thống Windows 10 có Microsoft Edge được đặt làm trình duyệt mặc định mới có thể bị xâm nhập chỉ bằng cách xem trang một web".
Lỗi bộ nhớ Microsoft Exchange (CVE-2018-8302)
Lỗ hổng này nằm trong cách phần mềm này xử lý các đối tượng trong bộ nhớ, cho phép kẻ tấn công từ xa chạy mã tùy ý trong ngữ cảnh của người dùng Hệ thống bằng cách gửi một email tự tạo đặc biệt tới máy chủ Exchange bị ảnh hưởng.
Lỗ hổng này ảnh hưởng đến Microsoft Exchange Server 2010, 2013 và 2016.
Lỗi thực thi mã từ xa trong Microsoft Graphics (CVE-2018-8344)
Microsoft tiết lộ thư viện phông chữ Windows xử lý không đúng cách các phông chữ nhúng tự tạo đặc biệt, có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng bằng cách cung cấp các phông chữ nhúng độc hại thông qua một tệp tài liệu và trang web tự tạo đặc biệt.
Lỗ hổng này ảnh hưởng đến Windows 10, 8.1 và 7 và Windows Server 2016 và 2012.
Lỗi thực thi mã từ xa trong LNK (CVE-2018-8345)
Lỗ hổng này tồn tại ở định dạng tệp .LNK được sử dụng bởi Microsoft Windows 10, 8.1, 7 và Windows Server.
Kẻ tấn công có thể sử dụng tệp .LNK độc hại và một tệp nhị phân độc hại liên quan để thực thi mã tùy ý trên hệ thống mục tiêu. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công có được quyền người dùng trên hệ thống Windows mục tiêu như người dùng nội bộ.
Theo Microsoft, tài khoản người dùng được cấu hình với ít quyền người dùng trên hệ thống sẽ ít bị ảnh hưởng bởi lỗ hổng này hơn người dùng hoạt động với quyền quản trị.
Lỗi thực thi mã từ xa trong GDI+ (CVE-2018-8397)
Lỗi RCE này nằm trong cách Windows Graphics Device Interface (GDI) xử lý các đối tượng trong bộ nhớ, cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng nếu khai thác thành công.
"Một kẻ tấn công có thể cài đặt các chương trình, xem, thay đổi hoặc xóa dữ liệu; hoặc tạo các tài khoản mới với đầy đủ quyền người dùng", Microsoft cho biết.
"Người dùng có tài khoản được cấu hình để có ít quyền người dùng hơn trên hệ thống có thể ít bị ảnh hưởng hơn người dùng hoạt động với quyền quản trị".
Lỗ hổng này ảnh hưởng đến Windows 7 và Windows Server 2008.
Bên cạnh đó, Microsoft cũng đưa ra các bản cập nhật bảo an ninh để vá các lỗ hổng trong các sản phẩm của Adobe.
Người dùng được khuyến cáo áp dụng các bản vá an ninh càng sớm càng tốt để tránh trở thành nạn nhân của tin tặc và tội phạm mạng.
Để cài đặt các cập nhật an ninh, chỉ cần vào Cài đặt (Settings) → Cập nhật & an ninh (Update & security) → Cập nhật Windows (Windows Update) → Kiểm tra (Check) các bản cập nhật hoặc cài đặt các cập nhật theo cách thủ công.
Bản cập nhật tháng 8 vá các lỗi trong Microsoft Windows, Microsoft Edge, Internet Explorer, Office, ChakraCore, .NET Framework, Exchange Server, Microsoft SQL Server và Visual Studio.
Hai trong số các lỗ hổng này đã được công bố rộng rãi và bị khai thác trong thực tế tại thời điểm phát hành bản vá.
Theo Microsoft, tất cả 19 lỗ hổng được đánh giá nghiêm trọng đều dẫn đến thực thi mã từ xa (RCE), một số trong đó có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng nếu khai thác thành công.
Bên cạnh đó, Microsoft cũng giải quyết 39 lỗi quan trọng, một lỗi có mức độ nghiêm trọng vừa phải và một lỗi có mức độ nghiêm trọng thấp.
Dưới đây là chi tiết ngắn gọn về một số lỗ hổng nghiêm trọng và các lỗ hổng quan trọng đã bị khai thác:
Lỗi bộ nhớ trong Internet Explore (CVE-2018-8373)
Lỗ hổng đầu tiên đã bị khai thác trong thực tế là một lỗi thực thi mã từ xa nghiêm trọng, ảnh hưởng đến tất cả các phiên bản được hỗ trợ của Windows.
Internet Explorer 9, 10 và 11 đều bị ảnh hưởng bởi vấn đề lỗi bộ nhớ có thể cho phép kẻ tấn công từ xa kiểm soát các hệ thống bị ảnh hưởng chỉ bằng cách thuyết phục người dùng xem một trang web tự tạo đặc biệt thông qua Internet Explorer.
"Một kẻ tấn công cũng có thể nhúng một tùy chọn điều khiển ActiveX được đánh dấu "an toàn để khởi tạo" trong một ứng dụng hoặc tài liệu Microsoft Office lưu trữ công cụ hiển thị của IE", Microsoft cho biết.
Lỗi thực thi mã từ xa Windows Shell (CVE-2018-8414)
Lỗ hổng thứ hai được biết đến rộng rãi và đã bị khai thác nằm trong Windows Shell, bắt nguồn từ việc xác nhận không chính xác các đường dẫn tệp.
Mã tùy ý có thể được thực thi trên hệ thống mục tiêu bằng cách thuyết phục nạn nhân mở một tệp tự tạo đặc biệt nhận được qua email hoặc trang web.
Lỗi thực thi mã từ xa trong Microsoft SQL Server (CVE-2018-8273)
Microsoft SQL Server 2016 và 2017 bị ảnh hưởng bởi lỗ hổng tràn bộ đệm có thể bị khai thác từ xa bởi kẻ tấn công để thực thi mã tùy ý trong ngữ cảnh tài khoản dịch vụ SQL Server Database Engine.
Khai thác thành công lỗ hổng này yêu cầu kẻ tấn công từ xa gửi một truy vấn tự tạo đặc biệt tới một máy chủ SQL bị ảnh hưởng.
Lỗ hổng thực thi mã từ xa trong Windows PDF (CVE-2018-8350)
Các hệ thống Windows 10 với Microsoft Edge được đặt làm trình duyệt mặc định có thể bị xâm phạm chỉ bằng cách thuyết phục người dùng xem một trang web.
Do việc xử lý không đúng đối tượng trong bộ nhớ, thư viện PDF của Windows 10 có thể bị khai thác bởi kẻ tấn công từ xa để thực thi mã tùy ý trên hệ thống mục tiêu.
"Kẻ tấn công cũng có thể tận dụng các trang web bị xâm nhập hoặc trang web chấp nhận hoặc lưu trữ nội dung hoặc quảng cáo do người dùng cung cấp, bằng cách thêm nội dung PDF tự tạo đặc biệt vào các trang web như vậy", Microsoft cho biết.
"Chỉ các hệ thống Windows 10 có Microsoft Edge được đặt làm trình duyệt mặc định mới có thể bị xâm nhập chỉ bằng cách xem trang một web".
Lỗi bộ nhớ Microsoft Exchange (CVE-2018-8302)
Lỗ hổng này nằm trong cách phần mềm này xử lý các đối tượng trong bộ nhớ, cho phép kẻ tấn công từ xa chạy mã tùy ý trong ngữ cảnh của người dùng Hệ thống bằng cách gửi một email tự tạo đặc biệt tới máy chủ Exchange bị ảnh hưởng.
Lỗ hổng này ảnh hưởng đến Microsoft Exchange Server 2010, 2013 và 2016.
Lỗi thực thi mã từ xa trong Microsoft Graphics (CVE-2018-8344)
Microsoft tiết lộ thư viện phông chữ Windows xử lý không đúng cách các phông chữ nhúng tự tạo đặc biệt, có thể cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng bằng cách cung cấp các phông chữ nhúng độc hại thông qua một tệp tài liệu và trang web tự tạo đặc biệt.
Lỗ hổng này ảnh hưởng đến Windows 10, 8.1 và 7 và Windows Server 2016 và 2012.
Lỗi thực thi mã từ xa trong LNK (CVE-2018-8345)
Lỗ hổng này tồn tại ở định dạng tệp .LNK được sử dụng bởi Microsoft Windows 10, 8.1, 7 và Windows Server.
Kẻ tấn công có thể sử dụng tệp .LNK độc hại và một tệp nhị phân độc hại liên quan để thực thi mã tùy ý trên hệ thống mục tiêu. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công có được quyền người dùng trên hệ thống Windows mục tiêu như người dùng nội bộ.
Theo Microsoft, tài khoản người dùng được cấu hình với ít quyền người dùng trên hệ thống sẽ ít bị ảnh hưởng bởi lỗ hổng này hơn người dùng hoạt động với quyền quản trị.
Lỗi thực thi mã từ xa trong GDI+ (CVE-2018-8397)
Lỗi RCE này nằm trong cách Windows Graphics Device Interface (GDI) xử lý các đối tượng trong bộ nhớ, cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng nếu khai thác thành công.
"Một kẻ tấn công có thể cài đặt các chương trình, xem, thay đổi hoặc xóa dữ liệu; hoặc tạo các tài khoản mới với đầy đủ quyền người dùng", Microsoft cho biết.
"Người dùng có tài khoản được cấu hình để có ít quyền người dùng hơn trên hệ thống có thể ít bị ảnh hưởng hơn người dùng hoạt động với quyền quản trị".
Lỗ hổng này ảnh hưởng đến Windows 7 và Windows Server 2008.
Bên cạnh đó, Microsoft cũng đưa ra các bản cập nhật bảo an ninh để vá các lỗ hổng trong các sản phẩm của Adobe.
Người dùng được khuyến cáo áp dụng các bản vá an ninh càng sớm càng tốt để tránh trở thành nạn nhân của tin tặc và tội phạm mạng.
Để cài đặt các cập nhật an ninh, chỉ cần vào Cài đặt (Settings) → Cập nhật & an ninh (Update & security) → Cập nhật Windows (Windows Update) → Kiểm tra (Check) các bản cập nhật hoặc cài đặt các cập nhật theo cách thủ công.
Theo The Hacker News