WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft vá 2 lỗ hổng zero-day đã bị khai thác trong thực tế
Trong Patch Tuesday tháng 5, Microsoft vá hơn 60 lỗ hổng, trong đó 2 lỗ hổng zero-day trong Windows có thể bị khai thác để thực thi mã từ xa và leo thang đặc quyền. Hai lỗ hổng này được báo cáo là đã bị khai thác trong thực tế.
Lỗ hổng zero-day nghiêm trọng hơn là CVE-2018-8174, cho phép kẻ tấn công thực thi mã tùy ý từ xa trên tất cả các phiên bản Windows được hỗ trợ.
Qihoo 360 và Kaspersky Lab đã phát hiện và báo cáo lỗ hổng này với Microsoft. Cả hai công ty đều nói rằng lỗ hổng này đã bị khai thác trong các cuộc tấn công có mục tiêu.
Theo Microsoft, lỗ hổng an ninh tồn tại trong cách công cụ VBScript xử lý các đối tượng trong bộ nhớ. Lỗ hổng có thể bị khai thác thông qua Internet Explorer bằng cách làm cho người dùng mục tiêu truy cập vào một trang web độc hại (bao gồm thông qua quảng cáo độc hại) hoặc bằng cách nhúng điều khiển ActiveX được đánh dấu "an toàn để khởi tạo" trong một ứng dụng hoặc tài liệu Office mà có lưu trữ công cụ kết xuất đồ họa Internet Explorer.
Kaspersky mô tả lỗ hổng này là một lỗi use-after-free (UAF). Trong các cuộc tấn công quan sát được, kẻ tấn công đã phát tán các tài liệu độc hại được thiết lập để tải xuống một payload cho bước thứ hai, cụ thể là một trang HTML độc hại. Mã trong trang web này kích hoạt UAF và một shellcode sẽ tải xuống một payload độc hại.
Theo nhà nghiên cứu Anton Ivanov của Kaspersky, lỗ hổng này cho phép tội phạm buộc Internet Explorer tải xuống, bất kể trình duyệt thường được sử dụng – làm tăng thêm bề mặt tấn công.
Lỗ hổng zero-day thứ hai là CVE-2018-8120, một lỗi leo thang đặc quyền trong Windows. Lỗ hổng liên quan đến cách thành phần Win32k xử lý các đối tượng trong bộ nhớ, cho phép kẻ tấn công thực thi mã tùy ý trong chế độ kernel, nhưng việc khai thác yêu cầu xác thực.
Microsoft cho biết lỗ hổng này chỉ ảnh hưởng đến Windows 7 và Windows Server 2008 - các phiên bản mới hơn của hệ điều hành dường như không bị ảnh hưởng. Một nhà nghiên cứu của ESET đã báo cáo lỗ hổng này cho Microsoft, nhưng hãng vẫn chưa chia sẻ bất kỳ chi tiết nào về các cuộc tấn công liên quan đến CVE-2018-8120.
Các tổ chức và người dùng cá nhân được khuyến cáo cài đặt các bản vá lỗi càng sớm càng tốt.
Bản cập nhật Patch Tuesday tháng 5 năm 2018 của Microsoft cũng giải quyết hai lỗ hổng Windows có các chi tiết đã được công khai. Các lỗ hổng được đánh giá là “quan trọng” và có thể dẫn đến leo thang đặc quyền (CVE-2018-8170) và tiết lộ thông tin (CVE-2018-8141).
Gần 20 vấn đề “rất quan trọng” khác cũng được giải quyết trong tháng này, bao gồm các lỗi bộ nhớ trong các công cụ kịch bản Edge và Internet Explorer và các lỗ hổng thực thi mã từ xa trong Hyper-V.
Adobe cũng đã phát hành bản cập nhật Patch Tuesday, nhưng chỉ giải quyết 5 lỗ hổng an ninh trong Flash Player, Creative Cloud và Connect.
Lỗ hổng zero-day nghiêm trọng hơn là CVE-2018-8174, cho phép kẻ tấn công thực thi mã tùy ý từ xa trên tất cả các phiên bản Windows được hỗ trợ.
Qihoo 360 và Kaspersky Lab đã phát hiện và báo cáo lỗ hổng này với Microsoft. Cả hai công ty đều nói rằng lỗ hổng này đã bị khai thác trong các cuộc tấn công có mục tiêu.
Theo Microsoft, lỗ hổng an ninh tồn tại trong cách công cụ VBScript xử lý các đối tượng trong bộ nhớ. Lỗ hổng có thể bị khai thác thông qua Internet Explorer bằng cách làm cho người dùng mục tiêu truy cập vào một trang web độc hại (bao gồm thông qua quảng cáo độc hại) hoặc bằng cách nhúng điều khiển ActiveX được đánh dấu "an toàn để khởi tạo" trong một ứng dụng hoặc tài liệu Office mà có lưu trữ công cụ kết xuất đồ họa Internet Explorer.
Kaspersky mô tả lỗ hổng này là một lỗi use-after-free (UAF). Trong các cuộc tấn công quan sát được, kẻ tấn công đã phát tán các tài liệu độc hại được thiết lập để tải xuống một payload cho bước thứ hai, cụ thể là một trang HTML độc hại. Mã trong trang web này kích hoạt UAF và một shellcode sẽ tải xuống một payload độc hại.
Theo nhà nghiên cứu Anton Ivanov của Kaspersky, lỗ hổng này cho phép tội phạm buộc Internet Explorer tải xuống, bất kể trình duyệt thường được sử dụng – làm tăng thêm bề mặt tấn công.
Lỗ hổng zero-day thứ hai là CVE-2018-8120, một lỗi leo thang đặc quyền trong Windows. Lỗ hổng liên quan đến cách thành phần Win32k xử lý các đối tượng trong bộ nhớ, cho phép kẻ tấn công thực thi mã tùy ý trong chế độ kernel, nhưng việc khai thác yêu cầu xác thực.
Microsoft cho biết lỗ hổng này chỉ ảnh hưởng đến Windows 7 và Windows Server 2008 - các phiên bản mới hơn của hệ điều hành dường như không bị ảnh hưởng. Một nhà nghiên cứu của ESET đã báo cáo lỗ hổng này cho Microsoft, nhưng hãng vẫn chưa chia sẻ bất kỳ chi tiết nào về các cuộc tấn công liên quan đến CVE-2018-8120.
Các tổ chức và người dùng cá nhân được khuyến cáo cài đặt các bản vá lỗi càng sớm càng tốt.
Bản cập nhật Patch Tuesday tháng 5 năm 2018 của Microsoft cũng giải quyết hai lỗ hổng Windows có các chi tiết đã được công khai. Các lỗ hổng được đánh giá là “quan trọng” và có thể dẫn đến leo thang đặc quyền (CVE-2018-8170) và tiết lộ thông tin (CVE-2018-8141).
Gần 20 vấn đề “rất quan trọng” khác cũng được giải quyết trong tháng này, bao gồm các lỗi bộ nhớ trong các công cụ kịch bản Edge và Internet Explorer và các lỗ hổng thực thi mã từ xa trong Hyper-V.
Adobe cũng đã phát hành bản cập nhật Patch Tuesday, nhưng chỉ giải quyết 5 lỗ hổng an ninh trong Flash Player, Creative Cloud và Connect.
Theo Security Week