-
09/04/2020
-
85
-
553 bài viết
Microsoft phát hành bản vá lỗ hổng 0-day đang bị khai thác trong Excel và máy chủ Exchange
Trong bản vá Patch Tuesday tháng này, Microsoft đã phát hành các bản cập nhật để giải quyết 55 lỗ hổng trong Windows, Azure, Visual Studio, Windows Hyper-V và Office. Trong đó có bao gồm các bản sửa lỗi cho hai lỗ hổng 0-day đang bị khai thác trong Excel và Exchange Server, có thể bị lạm dụng để kiểm soát hệ thống bị ảnh hưởng.
Trong số 55 lỗ hổng, 6 lỗi được đánh giá là nghiêm trọng và 49 lỗi được đánh giá là quan trọng. Bên cạnh đó cũng có 4 lỗi khác đã được biết đến công khai tại thời điểm phát hành.
Các lỗ hổng nghiêm trọng nhất là CVE-2021-42321 (điểm CVSS: 8,8) và CVE-2021-42292 (điểm CVSS: 7,8). Hai lỗi này liên quan đến lỗ hổng thực thi mã từ xa sau xác thực trong Microsoft Exchange Server và lỗ hổng an ninh ảnh hưởng đến các phiên bản Microsoft Excel 2013-2021.
Lỗ hổng trong máy chủ Exchange cũng là một trong những lỗi đã được tìm ra tại Tianfu Cup được tổ chức ở Trung Quốc vào tháng trước. Tuy nhiên, gã khổng lồ công nghệ Redmond không cung cấp bất kỳ chi tiết nào về cách hai lỗ hổng nói trên bị lợi dụng trong các cuộc tấn công thực tế.
“Đầu năm nay, Microsoft đã cảnh báo rằng nhóm tấn công APT HAFNIUM đang khai thác bốn lỗ hổng 0-day trong máy chủ Microsoft Exchange", Bharat Jogi, giám đốc nghiên cứu lỗ hổng và mối đe dọa tại Qualys cho biết.
"Sau đó, 4 lỗ hổng này tiếp tục trở thành mục tiêu của ransomware DearCry - bao gồm các cuộc tấn công vào các viện cứu bệnh truyền nhiễm, công ty luật, trường đại học, nhà thầu Quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ. Những trường hợp như vậy càng nhấn mạnh rằng máy chủ Microsoft Exchange là mục tiêu có giá trị cao”, Jogi nói thêm.
Cũng được vá trong bản cập nhật lần này là 4 lỗ hổng được tiết lộ công khai, nhưng không bị khai thác. Bốn lỗ hổng bao gồm 2 lỗ hổng thực thi mã từ xa của trình xem 3D: CVE-2021-43208 (điểm CVSS: 7,8), CVE-2021-43209 (điểm CVSS: 7,8) và 2 lỗ hổng tiết lộ thông tin giao thức máy tính từ xa Windows (RDP): CVE-2021-38631 (điểm CVSS: 4,4), CVE-2021-41371 (điểm CVSS: 4,4).
Bản cập nhật tháng 11 của Microsoft cũng đi kèm với bản vá cho CVE-2021-3711 - một lỗi tràn bộ đệm nghiêm trọng trong chức năng giải mã SM2 của OpenSSL được công bố vào cuối tháng 8 năm 2021 và có thể bị đối thủ lợi dụng để chạy mã tùy ý cũng như gây ra tấn công từ chối dịch vụ (DoS).
Các cập nhật quan trọng khác bao gồm các bản vá cho nhiều lỗi thực thi mã từ xa trong Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), Remote Desktop Client (CVE -2021-38666) và các phiên bản tại chỗ của Microsoft Dynamics 365 (CVE-2021-42316).
Cuối cùng là các bản vá cho một số lỗ hổng an ninh ảnh hưởng đến NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283 ), kernel của Windows (CVE-2021-42285), Visual Studio Code (CVE-2021-42322), Windows Desktop Bridge (CVE-2021-36957) và Windows Fast FAT File System Driver (CVE-2021-41377)
Để cài đặt các bản cập nhật an ninh mới nhất, người dùng Windows có thể đi tới Start > Settings > Update & Security > Windows Update hoặc bằng cách chọn Kiểm tra các bản cập nhật Windows.
Trong số 55 lỗ hổng, 6 lỗi được đánh giá là nghiêm trọng và 49 lỗi được đánh giá là quan trọng. Bên cạnh đó cũng có 4 lỗi khác đã được biết đến công khai tại thời điểm phát hành.
Các lỗ hổng nghiêm trọng nhất là CVE-2021-42321 (điểm CVSS: 8,8) và CVE-2021-42292 (điểm CVSS: 7,8). Hai lỗi này liên quan đến lỗ hổng thực thi mã từ xa sau xác thực trong Microsoft Exchange Server và lỗ hổng an ninh ảnh hưởng đến các phiên bản Microsoft Excel 2013-2021.
Lỗ hổng trong máy chủ Exchange cũng là một trong những lỗi đã được tìm ra tại Tianfu Cup được tổ chức ở Trung Quốc vào tháng trước. Tuy nhiên, gã khổng lồ công nghệ Redmond không cung cấp bất kỳ chi tiết nào về cách hai lỗ hổng nói trên bị lợi dụng trong các cuộc tấn công thực tế.
“Đầu năm nay, Microsoft đã cảnh báo rằng nhóm tấn công APT HAFNIUM đang khai thác bốn lỗ hổng 0-day trong máy chủ Microsoft Exchange", Bharat Jogi, giám đốc nghiên cứu lỗ hổng và mối đe dọa tại Qualys cho biết.
"Sau đó, 4 lỗ hổng này tiếp tục trở thành mục tiêu của ransomware DearCry - bao gồm các cuộc tấn công vào các viện cứu bệnh truyền nhiễm, công ty luật, trường đại học, nhà thầu Quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ. Những trường hợp như vậy càng nhấn mạnh rằng máy chủ Microsoft Exchange là mục tiêu có giá trị cao”, Jogi nói thêm.
Cũng được vá trong bản cập nhật lần này là 4 lỗ hổng được tiết lộ công khai, nhưng không bị khai thác. Bốn lỗ hổng bao gồm 2 lỗ hổng thực thi mã từ xa của trình xem 3D: CVE-2021-43208 (điểm CVSS: 7,8), CVE-2021-43209 (điểm CVSS: 7,8) và 2 lỗ hổng tiết lộ thông tin giao thức máy tính từ xa Windows (RDP): CVE-2021-38631 (điểm CVSS: 4,4), CVE-2021-41371 (điểm CVSS: 4,4).
Bản cập nhật tháng 11 của Microsoft cũng đi kèm với bản vá cho CVE-2021-3711 - một lỗi tràn bộ đệm nghiêm trọng trong chức năng giải mã SM2 của OpenSSL được công bố vào cuối tháng 8 năm 2021 và có thể bị đối thủ lợi dụng để chạy mã tùy ý cũng như gây ra tấn công từ chối dịch vụ (DoS).
Các cập nhật quan trọng khác bao gồm các bản vá cho nhiều lỗi thực thi mã từ xa trong Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), Remote Desktop Client (CVE -2021-38666) và các phiên bản tại chỗ của Microsoft Dynamics 365 (CVE-2021-42316).
Cuối cùng là các bản vá cho một số lỗ hổng an ninh ảnh hưởng đến NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283 ), kernel của Windows (CVE-2021-42285), Visual Studio Code (CVE-2021-42322), Windows Desktop Bridge (CVE-2021-36957) và Windows Fast FAT File System Driver (CVE-2021-41377)
Để cài đặt các bản cập nhật an ninh mới nhất, người dùng Windows có thể đi tới Start > Settings > Update & Security > Windows Update hoặc bằng cách chọn Kiểm tra các bản cập nhật Windows.
Nguồn: The Hacker News