WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Microsoft vá 120 lỗ hổng, 2 trong số đó là zero-day
Microsoft vừa phát hành gói bản vá Patch Tuesday tháng 8/2020, giải quyết 120 lỗ hổng an ninh tồn tại trong 13 sản phẩm và dịch vụ của hãng. Hai trong số đó là lỗ hổng zero-day. Đây cũng là gói bản vá Patch Tuesday lớn nhất mà Microsoft từng phát hành.
Các sản phẩm được xử lý lỗi trong bản vá tháng này gồm Microsoft Windows, Edge (trên nền tảng EdgeHTML và Chromium), ChakraCore, Internet Explorer, Microsoft Scripting Engine, SQL Server, .NET Framework, ASP.NET Core, Office và Office Services, cùng với Web Apps, Windows Codecs Library và Microsoft Dynamics. 17 trên tổng số 120 lỗ hổng được đánh giá là nghiêm trọng, còn lại ở mức quan trọng. Hai lỗ hổng đang bị tấn công khai thác trên thực tế, một trong số đó đã được biết đến công khai trước đó.
Một trong hai lỗ hổng zero-day, CVE-2020-1380, là lỗi tràn bộ nhớ công cụ tìm kiếm Internet Explorer. Đây là một lỗ hổng thực thi mã từ xa nghiêm trọng tồn tại trong cách công cụ tạo tập lệnh xử lý các đối tượng trong bộ nhớ IE. Nếu bị khai thác, nó có thể cho phép kẻ tấn công chiếm được các đặc quyền người dùng hiện tại: Nếu người dùng đăng nhập với tư cách quản trị viên, kẻ tấn công có thể chiếm đoạt hệ thống tồn tại lỗ hổng; cài đặt các chương trình; xem, chỉnh sửa hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ đặc quyền người dùng.
Trong một cuộc tấn công điển hình, hacker có thể dựng một trang web được thiết kế nhằm khai thác lỗ hổng và thuyết phục nạn nhân truy cập. Chúng có thể nhúng một trình điều khiển ActiveX được đánh dấu "an toàn để khởi tạo" trong một ứng dụng hoặc tệp Office lưu trữ công cụ kết xuất IE. Kẻ tấn công cũng có thể lạm dụng các trang web đã bị xâm nhập hoặc các trang web nhận hoặc lưu trữ nội dung hoặc quảng cáo do người dùng cung cấp.
Lỗi đang bị khai thác còn lại, CVE-2020-1464, là lỗ hổng giả mạo Windows. Lỗ hổng tồn tại khi Windows xác nhận sai chữ ký tệp; kẻ tấn công khai thác thành công có thể sử dụng chữ ký giả mạo được đính kèm với tệp thực thi độc hại để tải bất kỳ tệp nào và đánh lừa Hệ điều hành rằng tệp đó hợp pháp. Lỗi ảnh hưởng đến tất cả các phiên bản Windows được hỗ trợ, vì vậy các doanh nghiệp nên áp dụng bản vá càng nhanh càng tốt.
Microsoft cũng vá các lỗi tràn bộ nhớ nghiêm trọng trong Windows Media Foundation (WMF): CVE-2020-1525, CVE-2020-1379, CVE-2020-1477, CVE-2020-1492 và CVE-2020-1554. Tất cả đều là lỗ hổng thực thi mã từ xa tồn tại trong cách WMF xử lý các đối tượng trong bộ nhớ. Khai thác thành công, hacker có thể cài đặt phần mềm độc hại, kiểm soát dữ liệu hoặc tạo tài khoản mới. Để làm như vậy, kẻ tấn công có thể thuyết phục ai đó mở một tệp độc hại hoặc truy cập một trang web độc hại. Các phiên bản Windows 7 đến Windows 10 và Windows Server 2008 đến 2019 đều bị ảnh hưởng.
Các nhà nghiên cứu còn nhắc đến lỗ hổng CVE-2020-1472 trong danh sách cần được ưu tiên vá lỗi. Đây là một lỗ hổng leo thang đặc quyền, tồn tại khi những kẻ tấn công kết nối đến trình điều khiển tên miền bằng phiên bản Netlogon có lỗ hổng. Nếu thành công, chúng có thể chạy ứng dụng riêng trên một thiết bị mục tiêu thuộc cùng mạng. Những kẻ tấn công sẽ phải sử dụng MS-NRPC để kết nối với trình điều khiển tên miền để lấy được quyền truy cập quản trị viên.
Hiện lỗ hổng này vẫn chưa có bản sửa lỗi hoàn chỉnh. Microsoft lên kế hoạch phát hành bản vá hoàn thiện gồm hai phần. Trong đó, một phần thuộc gói bản vá tháng này cho phép trình điều khiển tên miền bảo vệ các thiết bị, trong khi phần thứ hai dự kiến phát hành năm 2021 sẽ tăng cường bảo mật cho Remote Procedure Call với Netlogon.
Gói bản vá Patch Tuesday tháng 8 cũng xử lý một lỗi leo thang đặc quyền trong dịch vụ Windows Print Spooler. Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền hệ thống nâng cao và cài đặt chương trình; xem, chỉnh sửa hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ đặc quyền người dùng.
Một trong hai lỗ hổng zero-day, CVE-2020-1380, là lỗi tràn bộ nhớ công cụ tìm kiếm Internet Explorer. Đây là một lỗ hổng thực thi mã từ xa nghiêm trọng tồn tại trong cách công cụ tạo tập lệnh xử lý các đối tượng trong bộ nhớ IE. Nếu bị khai thác, nó có thể cho phép kẻ tấn công chiếm được các đặc quyền người dùng hiện tại: Nếu người dùng đăng nhập với tư cách quản trị viên, kẻ tấn công có thể chiếm đoạt hệ thống tồn tại lỗ hổng; cài đặt các chương trình; xem, chỉnh sửa hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ đặc quyền người dùng.
Trong một cuộc tấn công điển hình, hacker có thể dựng một trang web được thiết kế nhằm khai thác lỗ hổng và thuyết phục nạn nhân truy cập. Chúng có thể nhúng một trình điều khiển ActiveX được đánh dấu "an toàn để khởi tạo" trong một ứng dụng hoặc tệp Office lưu trữ công cụ kết xuất IE. Kẻ tấn công cũng có thể lạm dụng các trang web đã bị xâm nhập hoặc các trang web nhận hoặc lưu trữ nội dung hoặc quảng cáo do người dùng cung cấp.
Lỗi đang bị khai thác còn lại, CVE-2020-1464, là lỗ hổng giả mạo Windows. Lỗ hổng tồn tại khi Windows xác nhận sai chữ ký tệp; kẻ tấn công khai thác thành công có thể sử dụng chữ ký giả mạo được đính kèm với tệp thực thi độc hại để tải bất kỳ tệp nào và đánh lừa Hệ điều hành rằng tệp đó hợp pháp. Lỗi ảnh hưởng đến tất cả các phiên bản Windows được hỗ trợ, vì vậy các doanh nghiệp nên áp dụng bản vá càng nhanh càng tốt.
Microsoft cũng vá các lỗi tràn bộ nhớ nghiêm trọng trong Windows Media Foundation (WMF): CVE-2020-1525, CVE-2020-1379, CVE-2020-1477, CVE-2020-1492 và CVE-2020-1554. Tất cả đều là lỗ hổng thực thi mã từ xa tồn tại trong cách WMF xử lý các đối tượng trong bộ nhớ. Khai thác thành công, hacker có thể cài đặt phần mềm độc hại, kiểm soát dữ liệu hoặc tạo tài khoản mới. Để làm như vậy, kẻ tấn công có thể thuyết phục ai đó mở một tệp độc hại hoặc truy cập một trang web độc hại. Các phiên bản Windows 7 đến Windows 10 và Windows Server 2008 đến 2019 đều bị ảnh hưởng.
Các nhà nghiên cứu còn nhắc đến lỗ hổng CVE-2020-1472 trong danh sách cần được ưu tiên vá lỗi. Đây là một lỗ hổng leo thang đặc quyền, tồn tại khi những kẻ tấn công kết nối đến trình điều khiển tên miền bằng phiên bản Netlogon có lỗ hổng. Nếu thành công, chúng có thể chạy ứng dụng riêng trên một thiết bị mục tiêu thuộc cùng mạng. Những kẻ tấn công sẽ phải sử dụng MS-NRPC để kết nối với trình điều khiển tên miền để lấy được quyền truy cập quản trị viên.
Hiện lỗ hổng này vẫn chưa có bản sửa lỗi hoàn chỉnh. Microsoft lên kế hoạch phát hành bản vá hoàn thiện gồm hai phần. Trong đó, một phần thuộc gói bản vá tháng này cho phép trình điều khiển tên miền bảo vệ các thiết bị, trong khi phần thứ hai dự kiến phát hành năm 2021 sẽ tăng cường bảo mật cho Remote Procedure Call với Netlogon.
Gói bản vá Patch Tuesday tháng 8 cũng xử lý một lỗi leo thang đặc quyền trong dịch vụ Windows Print Spooler. Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền hệ thống nâng cao và cài đặt chương trình; xem, chỉnh sửa hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ đặc quyền người dùng.
Nguồn: Dark Reading