WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
NSA phát hiện ra lỗ hổng mới ảnh hưởng đến máy chủ Microsoft Exchange
Trong bản vá lỗi định kỳ tháng 4/2021, Microsoft đã phát hành bản vá cho 114 lỗ hổng bảo mật, bao gồm 1 lỗi 0-day đang bị khai thác tích cực và 4 lỗi thực thi mã từ xa trong Exchange Server.
Trong 114 lỗ hổng trên, có 19 lỗ hổng được đánh giá là Nghiêm trọng, 88 lỗ hổng Quan trọng và một lỗ hổng Trung bình.
Đáng chú ý nhất là CVE-2021-28310, một lỗ hổng trong Win32k đang bị tin tặc khai thác tích cực. Lỗ hổng này cho phép những kẻ tấn công leo thang đặc quyền bằng cách chạy mã độc trên hệ thống mục tiêu.
Kaspersky, công ty an ninh mạng đã phát hiện và báo cáo lỗ hổng này tới Microsoft vào tháng 2, cho biết một nhóm APT có tên Bitter đang khai thác lỗ hổng này. Bitter cũng từng khai thác một lỗ hổng tương tự (CVE-2021-1732) vào cuối năm ngoái.
Theo chuyên gia Boris Larin của Kaspersky: "Tấn công leo thang đặc quyền có thể kết hợp với khai thác trình duyệt khác để tránh bị sandbox phát hiện hoặc thâm nhập sâu hơn vào hệ thống".
NSA phát hiện lỗ hổng mới ảnh hưởng đến máy chủ Exchange
Microsoft cũng xử lý 4 lỗi thực thi mã từ xa (RCE) (từ CVE-2021-28480 đến CVE-2021-28483) ảnh hưởng đến Máy chủ Exchange các phiên bản 2013, 2016 và 2019. Hai trong số 4 lỗ hổng trên không yêu cầu bước xác thực và bất kỳ tương tác nào từ người dùng với điểm CVSS là 9,8/10.
Mặc dù Microsoft thông báo không tìm thấy bất kỳ bằng chứng nào cho việc lỗ hổng đang bị khai thác trong thực tế, khách hàng được khuyến cáo cài đặt ngay lập tức các bản cập nhật trong bối cảnh các vụ tấn công vào máy chủ Exchange đang lan rộng từ tháng trước và những phát hiện mới cho thấy tin tặc đang cố gắng khai thác ProxyLogon để triển khai mã độc đào tiền ảo trên Máy chủ Exchange, trong đó payload được lưu trữ trên Máy chủ Exchange bị tấn công.
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cũng đã đưa ra chỉ thị khẩn cấp, nêu rõ đây là "những lỗ hổng gây ra rủi ro không thể chấp nhận được đối với doanh nghiệp và yêu cầu hành động khẩn cấp và ngay lập tức", đồng thời cảnh báo tin tặc có thể dùng kỹ thuật reverse – engineering (dịch ngược) bản vá để tạo ra mã khai thác mới.
FBI đã gỡ bỏ backdoor trên máy chủ MS Exchange bị tấn công
Ngoài ra, Cục Điều tra Liên bang Mỹ (FBI) đã "sao chép và gỡ bỏ" các web shell do tin tặc cài đặt trên hàng trăm máy tính nạn nhân thông qua lỗ hổng ProxyLogon. Các web shell này dùng để duy trì việc truy cập trái phép liên tục vào các mạng của Mỹ.
27 lỗ hổng RCE trong Windows RPC và các bản vá lỗi khác
Microsoft cũng phát hành bản vá cho 4 lỗ hổng đã bị công khai tại thời điểm phát hành nhưng không bị khai thác:
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, một số nhà cung cấp khác cũng phát hành các bản vá lỗ hổng trong tuần này:
Đáng chú ý nhất là CVE-2021-28310, một lỗ hổng trong Win32k đang bị tin tặc khai thác tích cực. Lỗ hổng này cho phép những kẻ tấn công leo thang đặc quyền bằng cách chạy mã độc trên hệ thống mục tiêu.
Kaspersky, công ty an ninh mạng đã phát hiện và báo cáo lỗ hổng này tới Microsoft vào tháng 2, cho biết một nhóm APT có tên Bitter đang khai thác lỗ hổng này. Bitter cũng từng khai thác một lỗ hổng tương tự (CVE-2021-1732) vào cuối năm ngoái.
Theo chuyên gia Boris Larin của Kaspersky: "Tấn công leo thang đặc quyền có thể kết hợp với khai thác trình duyệt khác để tránh bị sandbox phát hiện hoặc thâm nhập sâu hơn vào hệ thống".
NSA phát hiện lỗ hổng mới ảnh hưởng đến máy chủ Exchange
Microsoft cũng xử lý 4 lỗi thực thi mã từ xa (RCE) (từ CVE-2021-28480 đến CVE-2021-28483) ảnh hưởng đến Máy chủ Exchange các phiên bản 2013, 2016 và 2019. Hai trong số 4 lỗ hổng trên không yêu cầu bước xác thực và bất kỳ tương tác nào từ người dùng với điểm CVSS là 9,8/10.
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cũng đã đưa ra chỉ thị khẩn cấp, nêu rõ đây là "những lỗ hổng gây ra rủi ro không thể chấp nhận được đối với doanh nghiệp và yêu cầu hành động khẩn cấp và ngay lập tức", đồng thời cảnh báo tin tặc có thể dùng kỹ thuật reverse – engineering (dịch ngược) bản vá để tạo ra mã khai thác mới.
FBI đã gỡ bỏ backdoor trên máy chủ MS Exchange bị tấn công
Ngoài ra, Cục Điều tra Liên bang Mỹ (FBI) đã "sao chép và gỡ bỏ" các web shell do tin tặc cài đặt trên hàng trăm máy tính nạn nhân thông qua lỗ hổng ProxyLogon. Các web shell này dùng để duy trì việc truy cập trái phép liên tục vào các mạng của Mỹ.
27 lỗ hổng RCE trong Windows RPC và các bản vá lỗi khác
Microsoft cũng phát hành bản vá cho 4 lỗ hổng đã bị công khai tại thời điểm phát hành nhưng không bị khai thác:
- CVE-2021-28458 - Lỗ hổng leo thang đặc quyền trong Thư viện Azure ms-rest-nodeauth
- CVE-2021-27091 - Lỗ hổng leo thang đặc quyền trong Dịch vụ RPC Endpoint Mapper
- CVE-2021-28437 - Lỗ hổng tiết lộ thông tin trong trình cài đặt Windows
- CVE-2021-28312 - Lỗ hổng DoS trong Windows NTFS
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, một số nhà cung cấp khác cũng phát hành các bản vá lỗ hổng trong tuần này:
- Adobe (các bản cập nhật bảo mật cho Photoshop, Digital Editions, RoboHelp và Bridge)
- DELL
- Các bản phân phối Linux SUSE, Oracle Linux và Red Hat
- SAP
- Schneider Electric
- Siemens
Theo The Hacker News