-
09/04/2020
-
85
-
553 bài viết
Microsoft vá một lỗ hổng zero-day đã bị khai thác và hơn 90 lỗ hổng khác
Microsoft vừa tung ra các bản vá khẩn cấp để khắc phục 97 lỗ hổng trong phần mềm của hãng. Trong đó, có một lỗ hổng zero-day được mô tả là lỗi leo thang đặc quyền trong trình điều khiển Common Log File System (CLFS) của Windows. Lỗi này cũng đã bị khai thác tích cực trong các cuộc tấn công ransomware thực tế.
Lỗ hổng có mã định danh là CVE-2023-28252. Các chuyên gia cảnh báo rằng kẻ tấn công khai thác thành công CVE này có thể giành được các đặc quyền ở mức SYSTEM - mức cao nhất trên hệ thống.
CVE-2023-28252 là lỗ hổng leo thang đặc quyền thứ tư trong trình điều khiến CLFS đã bị lợi dụng tích cực trong năm qua sau CVE-2022-24521, CVE-2022-37969 và CVE-2023-23376 (điểm CVSS: 7,8). Ít nhất 32 lỗ hổng đã được xác định trong CLFS kể từ năm 2018.
Theo công ty an ninh mạng Kaspersky, lỗ hổng này đã được một nhóm tội phạm mạng sử dụng để triển khai phần mềm tống tiền Nokoyawa chống lại các doanh nghiệp vừa và nhỏ ở Trung Đông, Bắc Mỹ và Châu Á.
Như thường lệ, Microsoft không cung cấp bất kỳ chi tiết cụ thể nào về việc khai thác cũng như không công bố IOC của lỗ hổng zero-day này.
Microsoft cũng thông báo về việc cập nhật bản vá cho hơn 90 lỗ hổng khác trong trong hệ sinh thái Windows. Bản vá xuất hiện đúng một tháng sau khi thông tin một lỗ hổng Outlook bị tin tặc Nga khai thác được xác nhận.
Bảy trong số 97 lỗi được xếp hạng nghiêm trọng và 90 lỗi được xếp hạng quan trọng. Đặc biệt, 45 trong số các lỗ hổng là lỗi thực thi mã từ xa, và 20 lỗ hổng là lỗi nâng cao đặc quyền.
Các chuyên gia cũng khuyến nghị người dùng Windows nên chú ý đến một lỗi khác là CVE-2023-21554 - một lỗ hổng thực thi mã từ xa của Microsoft Message Queuing với điểm CVSS là 9,8 trên 10. Danh sách các phiên bản máy chủ và máy khách Windows bị ảnh hưởng bao gồm tất cả các bản phát hành hiện được hỗ trợ cho đến các phiên bản mới nhất, Windows 11 22H2 và Windows Server 2022.
“Lỗi này cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực với các đặc quyền cao trên các máy chủ sử dụng dịch vụ Message Queuing bị ảnh hưởng. Dịch vụ này bị tắt theo mặc định nhưng thường sử dụng bởi nhiều ứng dụng hỗ trợ chăm sóc khách hàng”.
Check Point Research cũng chia sẻ rằng họ đã tìm thấy hơn 360.000 máy chủ tiếp xúc với Internet đang chạy dịch vụ MSMQ có khả năng dễ bị tấn công. Số lượng hệ thống chưa được vá chắc chắn còn cao hơn nhiều, vì ước tính của Check Point Research không bao gồm các thiết bị chạy dịch vụ MSMQ không thể truy cập qua Internet.
Mặc dù không được bật mặc định trên hầu hết các hệ thống, MSMQ vẫn thường được chạy ngầm khi cài đặt ứng dụng doanh nghiệp và sẽ vẫn chạy ngay cả sau khi ứng dụng được gỡ bỏ. Các chuyên gia đã phát hiện ra MSMQ sẽ được bật tự động trong quá trình cài đặt Exchange Server.
Microsoft đã giải quyết lỗi này trong Patch Tuesday của tháng Tư. Tuy nhiên, hãng cũng khuyên các quản trị viên không thể triển khai bản vá ngay lập tức tắt dịch vụ MSMQ của Windows nhằm loại bỏ vector tấn công.
Các tổ chức không thể tắt ngay MSMQ hoặc triển khai bản vá của Microsoft cũng có thể chặn các kết nối 1801/TCP từ các nguồn không đáng tin cậy bằng cách áp dụng các luật của tường lửa.
Các bản vá của Microsoft được tung ra cùng ngày Adobe triển khai các bản sửa lỗi an ninh cho ít nhất 56 lỗ hổng trong nhiều loại sản phẩm, một số lỗ hổng nghiêm trọng khiến người dùng Windows và macOS phải hứng chịu các cuộc tấn công thực thi mã lệnh.
Lỗ hổng có mã định danh là CVE-2023-28252. Các chuyên gia cảnh báo rằng kẻ tấn công khai thác thành công CVE này có thể giành được các đặc quyền ở mức SYSTEM - mức cao nhất trên hệ thống.
CVE-2023-28252 là lỗ hổng leo thang đặc quyền thứ tư trong trình điều khiến CLFS đã bị lợi dụng tích cực trong năm qua sau CVE-2022-24521, CVE-2022-37969 và CVE-2023-23376 (điểm CVSS: 7,8). Ít nhất 32 lỗ hổng đã được xác định trong CLFS kể từ năm 2018.
Theo công ty an ninh mạng Kaspersky, lỗ hổng này đã được một nhóm tội phạm mạng sử dụng để triển khai phần mềm tống tiền Nokoyawa chống lại các doanh nghiệp vừa và nhỏ ở Trung Đông, Bắc Mỹ và Châu Á.
Như thường lệ, Microsoft không cung cấp bất kỳ chi tiết cụ thể nào về việc khai thác cũng như không công bố IOC của lỗ hổng zero-day này.
Microsoft cũng thông báo về việc cập nhật bản vá cho hơn 90 lỗ hổng khác trong trong hệ sinh thái Windows. Bản vá xuất hiện đúng một tháng sau khi thông tin một lỗ hổng Outlook bị tin tặc Nga khai thác được xác nhận.
Bảy trong số 97 lỗi được xếp hạng nghiêm trọng và 90 lỗi được xếp hạng quan trọng. Đặc biệt, 45 trong số các lỗ hổng là lỗi thực thi mã từ xa, và 20 lỗ hổng là lỗi nâng cao đặc quyền.
Các chuyên gia cũng khuyến nghị người dùng Windows nên chú ý đến một lỗi khác là CVE-2023-21554 - một lỗ hổng thực thi mã từ xa của Microsoft Message Queuing với điểm CVSS là 9,8 trên 10. Danh sách các phiên bản máy chủ và máy khách Windows bị ảnh hưởng bao gồm tất cả các bản phát hành hiện được hỗ trợ cho đến các phiên bản mới nhất, Windows 11 22H2 và Windows Server 2022.
“Lỗi này cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực với các đặc quyền cao trên các máy chủ sử dụng dịch vụ Message Queuing bị ảnh hưởng. Dịch vụ này bị tắt theo mặc định nhưng thường sử dụng bởi nhiều ứng dụng hỗ trợ chăm sóc khách hàng”.
Check Point Research cũng chia sẻ rằng họ đã tìm thấy hơn 360.000 máy chủ tiếp xúc với Internet đang chạy dịch vụ MSMQ có khả năng dễ bị tấn công. Số lượng hệ thống chưa được vá chắc chắn còn cao hơn nhiều, vì ước tính của Check Point Research không bao gồm các thiết bị chạy dịch vụ MSMQ không thể truy cập qua Internet.
Mặc dù không được bật mặc định trên hầu hết các hệ thống, MSMQ vẫn thường được chạy ngầm khi cài đặt ứng dụng doanh nghiệp và sẽ vẫn chạy ngay cả sau khi ứng dụng được gỡ bỏ. Các chuyên gia đã phát hiện ra MSMQ sẽ được bật tự động trong quá trình cài đặt Exchange Server.
Microsoft đã giải quyết lỗi này trong Patch Tuesday của tháng Tư. Tuy nhiên, hãng cũng khuyên các quản trị viên không thể triển khai bản vá ngay lập tức tắt dịch vụ MSMQ của Windows nhằm loại bỏ vector tấn công.
Các tổ chức không thể tắt ngay MSMQ hoặc triển khai bản vá của Microsoft cũng có thể chặn các kết nối 1801/TCP từ các nguồn không đáng tin cậy bằng cách áp dụng các luật của tường lửa.
Các bản vá của Microsoft được tung ra cùng ngày Adobe triển khai các bản sửa lỗi an ninh cho ít nhất 56 lỗ hổng trong nhiều loại sản phẩm, một số lỗ hổng nghiêm trọng khiến người dùng Windows và macOS phải hứng chịu các cuộc tấn công thực thi mã lệnh.
Nguồn: Security Week
Chỉnh sửa lần cuối: