WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Patch Tuesday: Microsoft cảnh báo lỗ hổng zero-day đang bị khai thác
Microsoft vừa phát hành Patch Tuesday vá ít nhất 73 lỗi an ninh trong hệ sinh thái Windows và cảnh báo về các cuộc tấn công MitM sử dụng lỗ hổng zero-day.
Lỗ hổng zero-day (CVE-2022-26925) là lỗi giả mạo Windows LSA để cung cấp đường dẫn cho kẻ tấn công xác thực đến bộ điều khiển tên miền.
Theo Microsoft, kẻ tấn công chưa được xác thực có thể yêu cầu một phương thức trên giao diện LSARPC và ép bộ điều khiển miền xác thực kẻ tấn công sử dụng NTLM.
Như thông lệ, công ty không cung cấp bất kỳ chi tiết bổ sung nào về các hoạt động khai thác được thấy trong thực tế hoặc bất kỳ IOC (chỉ số thỏa hiệp) nào.
Ngay cả khi xác nhận việc khai thác lỗi giả mạo Windows LSA zero-day, Microsoft lưu ý rằng những kẻ tấn công trước tiên phải vào được đường dẫn mạng logic giữa mục tiêu và tài nguyên mà nạn nhân yêu cầu để đọc hoặc sửa đổi thông tin liên lạc mạng.
Dù kịch bản tấn công phức tạp, các chuyên gia vẫn khuyến cáo về việc giảm thiểu rủi ro. Theo Satnam Narang, một kỹ sư nghiên cứu tại Tenable, mặc dù lỗ hổng được đánh giá ở mức quan trọng và được gán điểm CVSS là 8,1, nhưng nếu được kết nối với các cuộc tấn công NTLM Relay khác như PetitPotam, điểm CVSS sẽ tăng lên 9,8, nâng lỗ hổng lên mức nghiêm trọng.
Ngoài việc vá lỗi zero-day, Narang khuyến nghị các tổ chức tham khảo KB5005413 để biết các cách giảm thiểu các cuộc tấn công chuyển tiếp NTLM chống lại Active Directory Certificate Services.
Các quản trị viên nhóm Windows cũng được khuyến cáo chú ý đến nhiều lỗ hổng Print Spooler được vá trong tháng này, bao gồm hai lỗ hổng tiết lộ thông tin (CVE-2022-29114, CVE-2022-29140) và hai lỗ hổng đặc quyền (CVE-2022-29104, CVE -2022-29132).
Các lỗi Print Spooler được đánh giá “quan trọng” và hai trong số ba lỗi được coi là có nhiều khả năng bị khai thác hơn. “Windows Print Spooler tiếp tục là mục tiêu có giá trị đối với những kẻ tấn công kể từ khi PrintNightmare được tiết lộ gần một năm trước. Đặc biệt, các lỗ hổng về Nâng cao Đặc quyền cần được ưu tiên”, Narang cho biết thêm.
Bản vá lỗi tháng này cũng giải quyết các lỗ hổng trong .NET và Visual Studio, Microsoft Exchange Server, Microsoft Office, Windows Hyper-V, BitLocker, Remote Desktop Client, Windows Network File System, NTFS và Windows Point-to-Point Tunneling Protocol.
Riêng nhà sản xuất phần mềm Adobe đã gửi bản vá cho ít nhất 18 lỗi an ninh nghiêm trọng trong nhiều sản phẩm doanh nghiệp và cảnh báo rằng các hệ thống chưa được vá có nguy cơ bị tấn công thực thi mã từ xa.
Lỗ hổng zero-day (CVE-2022-26925) là lỗi giả mạo Windows LSA để cung cấp đường dẫn cho kẻ tấn công xác thực đến bộ điều khiển tên miền.
Theo Microsoft, kẻ tấn công chưa được xác thực có thể yêu cầu một phương thức trên giao diện LSARPC và ép bộ điều khiển miền xác thực kẻ tấn công sử dụng NTLM.
Như thông lệ, công ty không cung cấp bất kỳ chi tiết bổ sung nào về các hoạt động khai thác được thấy trong thực tế hoặc bất kỳ IOC (chỉ số thỏa hiệp) nào.
Ngay cả khi xác nhận việc khai thác lỗi giả mạo Windows LSA zero-day, Microsoft lưu ý rằng những kẻ tấn công trước tiên phải vào được đường dẫn mạng logic giữa mục tiêu và tài nguyên mà nạn nhân yêu cầu để đọc hoặc sửa đổi thông tin liên lạc mạng.
Dù kịch bản tấn công phức tạp, các chuyên gia vẫn khuyến cáo về việc giảm thiểu rủi ro. Theo Satnam Narang, một kỹ sư nghiên cứu tại Tenable, mặc dù lỗ hổng được đánh giá ở mức quan trọng và được gán điểm CVSS là 8,1, nhưng nếu được kết nối với các cuộc tấn công NTLM Relay khác như PetitPotam, điểm CVSS sẽ tăng lên 9,8, nâng lỗ hổng lên mức nghiêm trọng.
Ngoài việc vá lỗi zero-day, Narang khuyến nghị các tổ chức tham khảo KB5005413 để biết các cách giảm thiểu các cuộc tấn công chuyển tiếp NTLM chống lại Active Directory Certificate Services.
Các quản trị viên nhóm Windows cũng được khuyến cáo chú ý đến nhiều lỗ hổng Print Spooler được vá trong tháng này, bao gồm hai lỗ hổng tiết lộ thông tin (CVE-2022-29114, CVE-2022-29140) và hai lỗ hổng đặc quyền (CVE-2022-29104, CVE -2022-29132).
Các lỗi Print Spooler được đánh giá “quan trọng” và hai trong số ba lỗi được coi là có nhiều khả năng bị khai thác hơn. “Windows Print Spooler tiếp tục là mục tiêu có giá trị đối với những kẻ tấn công kể từ khi PrintNightmare được tiết lộ gần một năm trước. Đặc biệt, các lỗ hổng về Nâng cao Đặc quyền cần được ưu tiên”, Narang cho biết thêm.
Bản vá lỗi tháng này cũng giải quyết các lỗ hổng trong .NET và Visual Studio, Microsoft Exchange Server, Microsoft Office, Windows Hyper-V, BitLocker, Remote Desktop Client, Windows Network File System, NTFS và Windows Point-to-Point Tunneling Protocol.
Riêng nhà sản xuất phần mềm Adobe đã gửi bản vá cho ít nhất 18 lỗi an ninh nghiêm trọng trong nhiều sản phẩm doanh nghiệp và cảnh báo rằng các hệ thống chưa được vá có nguy cơ bị tấn công thực thi mã từ xa.
Theo Security Weeks
Chỉnh sửa lần cuối bởi người điều hành: