WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Microsoft phát hành Patch Tuesday vá các lỗ hổng đang bị khai thác rộng rãi
Trong tháng 7/2015, Microsoft phát hành 14 bản vá lỗ hổng an ninh bao gồm 4 bản vá được đánh giá ở mức “nghiêm trọng” cho phép thực thi mã từ xa.
Các bản vá nghiêm trọng
MS15-065 giải quyết 28 lỗ hổng trong trình duyệt Internet Explorer cho phép kẻ tấn công thay đổi cách thức IE, VBScript và Jscript xử lý các đối tượng trong bộ nhớ. Theo Wolfgang Kandek, CTO của hãng Qualys, ba trong số những lỗ hổng đã được biết đến trước đó là (CVE 2051-2143, CVE-2015-2419 và CVE 2015-2421). “CVE-2015-2425 là bản vá lỗ hổng được tìm thấy trong dữ liệu lấy được từ Hacking Team và cũng được Microsoft phát hành bản vá. Một số lỗ hổng khác cho phép kẻ tấn công thực thi mã từ xa khi nạn nhân truy cập vào trang web độc hại hoặc bị lây nhiễm mã độc”.
MS15-066 xử lý lỗ hổng trong ngôn ngữ lập trình Windows VBScript cho phép kẻ tấn công thực thi mã từ xa.
MS15-067 xử lý lỗ hổng trong Windows cho phép kẻ tấn công có thể khai thác hệ thống khi dịch vụ máy chủ Remote Desktop Protocol (giao thức bàn làm việc từ xa) được bật.
MS15-068 là bản vá cho các lỗ hổng trong Windows Heper-V, vá lỗi “cách thức Hyper-V khởi tạo cấu trúc dữ liệu hệ thống trong các máy ảo của khách. Những lỗ hổng này cho phép thực thi mã từ xa trong bối cảnh khi một ứng dụng đặc biệt được chạy bởi một người dùng được xác thực và có đặc quyền trên một máy ảo của khách được đặt trên Hyper-V. Kẻ tấn công cần phải có thông tin đăng nhập hợp lệ trên máy chủ ảo của khách thì mới có thể khai thác được lỗ hổng này”.
Các bản vá quan trọng cho lỗ hổng RCE(Thực thi mã từ xa)
Microsoft đã bỏ qua lỗi MS15-058 trong tháng trước, nhưng cuối cùng đã xử lý các lỗ hổng trong SQL Server cho phép kẻ tấn công thực thi mã từ xa. Mặc dù lỗ hổng này gần giống với lỗ hổng RCE, nhưng Microsoft chỉ đánh giá ở mức “quan trọng”.
MS15-059 cũng vá các lỗ hổng cho phép thực thi mã từ xa, nhưng lần này là trong Windows. “Những lỗ hổng cho phép thực thi mã từ xa nếu như kẻ tấn công đặt được một tập tin DLL đặc biệt trên thư mục đang làm việc của nạn nhân và sau đó thuyết phục nạn nhân mở một tập tin RTF hoặc khởi chạy chương trình để tải một file DDL đặc biệt của tin tặc thay vì tải một file DDL xác thực như được thiết kế. Sau khi khai thác được hệ thống, kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hay xóa dữ liệu hoặc là tạo ra các tài khoản người dùng mới”.
MS15-070 là bản vá cho các lỗ hổng RCE trong Microsoft Office. Một lỗ hổng CVE-2015-2424 đã bị khai thác.
Các bản vá quan trọng: có thể cho phép leo thang đặc quyền
MS15-071 là bản vá cho một lỗ hổng trong Netlogon, cho phép leo thang đặc quyền (EOP). Lỗ hổng này cho phép leo thang đặc quyền khi kẻ tấn công truy cập đến một hệ thống điều khiển tên miền chính PDC trên mạng của nạn nhân và chạy một ứng dụng đặc biệt để thiết lập một kênh an toàn cho PDC như một hệ thống điều khiển tên miền dự phòng BDC.
MS15-072 là bản vá cho lỗ hổng trong các thành phần đồ họa của Windows cho phép kẻ tấn công leo thang đặc quyền nếu Windows “không chuyển đổi bitmap đúng cách” và tin tặc có có đặc quyền khai thác được lỗ hổng.
MS15-073 vá các lỗ hổng trong trình điều khiển Kernel-mode của Windows cũng cho phép leo thang đặc quyền. Bản vá sửa lỗi cách thức trình điều khiển Kernel-mode của Windows xử lý các đối tượng trong bộ nhớ.
MS15-074 giải quyết lỗi trong cài đặt dịch vụ của Windows cho phép kẻ tấn công khai thác để leo thang đặc quyền.
MS15-075 là bản vá cho các lỗ hổng trong OLE, cho phép kẻ tấn công leo thang đặc quyền khi sử kết hợp sử dụng với lỗ hổng khác, cho phép một mã tùy ý được chạy thông qua Internet Explorer. Một khi lỗ hổng kia bị khai thác, tin tặc có thể khai thác các lỗ hổng được vá trong gói bản vá này.
MS15-076 vá lỗ hổng trong bước xác thực Windows Remote Procedure Call (RPC), cho phép leo thang đặc quyền khi kẻ tấn công truy cập vào một hệ thống bị ảnh hưởng và chạy một ứng dụng đặc biệt. Khi đã khai thác được thành công, kẻ tấn công có thể kiểm soát được toàn bộ hệ thống. Sau khi khai thác được hệ thống, kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hay xóa dữ liệu hoặc tạo ra các tài khoản người dùng mới.
MS15-077 là bản vá cho lỗ hổng đã được công khai là CVE-205-2387 và một lỗ hổng trong trình điều khiển font chữ Windows Adobe Type Manager. Mặc dù Microsoft đánh giá lỗ hổng chỉ ở mức “quan trọng”, nhưng Qualys xác định rằng nó đang được khai thác rộng rãi.
Các bản vá nghiêm trọng
MS15-065 giải quyết 28 lỗ hổng trong trình duyệt Internet Explorer cho phép kẻ tấn công thay đổi cách thức IE, VBScript và Jscript xử lý các đối tượng trong bộ nhớ. Theo Wolfgang Kandek, CTO của hãng Qualys, ba trong số những lỗ hổng đã được biết đến trước đó là (CVE 2051-2143, CVE-2015-2419 và CVE 2015-2421). “CVE-2015-2425 là bản vá lỗ hổng được tìm thấy trong dữ liệu lấy được từ Hacking Team và cũng được Microsoft phát hành bản vá. Một số lỗ hổng khác cho phép kẻ tấn công thực thi mã từ xa khi nạn nhân truy cập vào trang web độc hại hoặc bị lây nhiễm mã độc”.
MS15-066 xử lý lỗ hổng trong ngôn ngữ lập trình Windows VBScript cho phép kẻ tấn công thực thi mã từ xa.
MS15-067 xử lý lỗ hổng trong Windows cho phép kẻ tấn công có thể khai thác hệ thống khi dịch vụ máy chủ Remote Desktop Protocol (giao thức bàn làm việc từ xa) được bật.
MS15-068 là bản vá cho các lỗ hổng trong Windows Heper-V, vá lỗi “cách thức Hyper-V khởi tạo cấu trúc dữ liệu hệ thống trong các máy ảo của khách. Những lỗ hổng này cho phép thực thi mã từ xa trong bối cảnh khi một ứng dụng đặc biệt được chạy bởi một người dùng được xác thực và có đặc quyền trên một máy ảo của khách được đặt trên Hyper-V. Kẻ tấn công cần phải có thông tin đăng nhập hợp lệ trên máy chủ ảo của khách thì mới có thể khai thác được lỗ hổng này”.
Các bản vá quan trọng cho lỗ hổng RCE(Thực thi mã từ xa)
Microsoft đã bỏ qua lỗi MS15-058 trong tháng trước, nhưng cuối cùng đã xử lý các lỗ hổng trong SQL Server cho phép kẻ tấn công thực thi mã từ xa. Mặc dù lỗ hổng này gần giống với lỗ hổng RCE, nhưng Microsoft chỉ đánh giá ở mức “quan trọng”.
MS15-059 cũng vá các lỗ hổng cho phép thực thi mã từ xa, nhưng lần này là trong Windows. “Những lỗ hổng cho phép thực thi mã từ xa nếu như kẻ tấn công đặt được một tập tin DLL đặc biệt trên thư mục đang làm việc của nạn nhân và sau đó thuyết phục nạn nhân mở một tập tin RTF hoặc khởi chạy chương trình để tải một file DDL đặc biệt của tin tặc thay vì tải một file DDL xác thực như được thiết kế. Sau khi khai thác được hệ thống, kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hay xóa dữ liệu hoặc là tạo ra các tài khoản người dùng mới”.
MS15-070 là bản vá cho các lỗ hổng RCE trong Microsoft Office. Một lỗ hổng CVE-2015-2424 đã bị khai thác.
Các bản vá quan trọng: có thể cho phép leo thang đặc quyền
MS15-071 là bản vá cho một lỗ hổng trong Netlogon, cho phép leo thang đặc quyền (EOP). Lỗ hổng này cho phép leo thang đặc quyền khi kẻ tấn công truy cập đến một hệ thống điều khiển tên miền chính PDC trên mạng của nạn nhân và chạy một ứng dụng đặc biệt để thiết lập một kênh an toàn cho PDC như một hệ thống điều khiển tên miền dự phòng BDC.
MS15-072 là bản vá cho lỗ hổng trong các thành phần đồ họa của Windows cho phép kẻ tấn công leo thang đặc quyền nếu Windows “không chuyển đổi bitmap đúng cách” và tin tặc có có đặc quyền khai thác được lỗ hổng.
MS15-073 vá các lỗ hổng trong trình điều khiển Kernel-mode của Windows cũng cho phép leo thang đặc quyền. Bản vá sửa lỗi cách thức trình điều khiển Kernel-mode của Windows xử lý các đối tượng trong bộ nhớ.
MS15-074 giải quyết lỗi trong cài đặt dịch vụ của Windows cho phép kẻ tấn công khai thác để leo thang đặc quyền.
MS15-075 là bản vá cho các lỗ hổng trong OLE, cho phép kẻ tấn công leo thang đặc quyền khi sử kết hợp sử dụng với lỗ hổng khác, cho phép một mã tùy ý được chạy thông qua Internet Explorer. Một khi lỗ hổng kia bị khai thác, tin tặc có thể khai thác các lỗ hổng được vá trong gói bản vá này.
MS15-076 vá lỗ hổng trong bước xác thực Windows Remote Procedure Call (RPC), cho phép leo thang đặc quyền khi kẻ tấn công truy cập vào một hệ thống bị ảnh hưởng và chạy một ứng dụng đặc biệt. Khi đã khai thác được thành công, kẻ tấn công có thể kiểm soát được toàn bộ hệ thống. Sau khi khai thác được hệ thống, kẻ tấn công có thể cài đặt chương trình, xem, thay đổi hay xóa dữ liệu hoặc tạo ra các tài khoản người dùng mới.
MS15-077 là bản vá cho lỗ hổng đã được công khai là CVE-205-2387 và một lỗ hổng trong trình điều khiển font chữ Windows Adobe Type Manager. Mặc dù Microsoft đánh giá lỗ hổng chỉ ở mức “quan trọng”, nhưng Qualys xác định rằng nó đang được khai thác rộng rãi.
Theo Net Work World