WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Patch Tuesday tháng 7: Microsoft vá 84 lỗ hổng, 1 lỗi zero-day đang bị khai thác
Microsoft vừa phát hành Patch Tuesday khẩn cấp, cảnh báo lỗ hổng zero-day cho phép leo thang đặc quyền trong hệ điều hành Windows. Lỗ hổng đang bị khai thác trong thực tế.
Lỗ hổng (CVE-2022-22047, điểm CVSS là 7,8) tồn tại trong Client/Server Runtime Subsystem (csrss.exe). Khai thác thành công, kẻ tấn công có thể có được đặc quyền của hệ thống.
Microsoft không cung cấp bất kỳ chi tiết nào khác về các cuộc tấn công đang diễn ra, ngoài thông báo rằng lỗ hổng chưa được tiết lộ công khai.
CISA đã thêm lỗ hổng này vào Danh sách các lỗ hổng đang bị khai thác và yêu cầu các cơ quan liên bang vá lỗ hổng trong vòng 3 tuần tới.
Ngoài lỗ hổng trên, Patch Tuesday tháng này bao gồm bản vá cho ít nhất 84 lỗ hổng được ghi nhận trong hệ sinh thái Windows, nhưng không bao gồm bất kỳ bản sửa lỗi cho các lỗ hổng trong Windows 11 và Microsoft Teams được phát hiện tại cuộc thi Pwn2Own gần đây.
84 lỗ hổng được ghi nhận ảnh hưởng đến Microsoft Office, BitLocker, Microsoft Defender, Windows Azure và Windows Windows Hyper-V. 4 lỗi trong số này có mức độ nghiêm trọng cao nhất. Các lỗi còn lại được đánh giá là “quan trọng”.
Azure Site Recovery (ASR) chiếm hơn 1/3 số lỗ hổng được vá, với 32 lỗi có thể cho phép nâng cao đặc quyền hoặc thực thi mã từ xa. Trong số này, Microsoft đặc biệt nhấn mạnh lỗ hổng DLL hijacking (CVE-2022-33675, điểm CVSSv3 7,8).
Theo Tenable, công ty đã phát hiện và báo cáo lỗ hổng cho Microsoft, dịch vụ “cxprocessserver” của ASR chạy với các đặc quyền cấp HỆ THỐNG theo mặc định và tệp thực thi của nó nằm trong một thư mục được cấu hình sai cho phép bất kỳ người dùng nào cũng có quyền ‘ghi’. Do đó, người dùng bình thường có thể đặt các tệp DLL độc hại (ktmw32.dll) vào trong thư mục. Khi quá trình 'cxprocessserver' bắt đầu, nó sẽ tải DLL độc hại và thực thi bất kỳ lệnh với đặc quyền HỆ THỐNG.
Có được đặc quyền cấp quản trị trên hệ thống mục tiêu, kẻ tấn công có thể tự do thay đổi cài đặt an ninh của hệ điều hành, sửa đổi tài khoản người dùng, truy cập tất cả các tệp trên hệ thống và cài phần mềm bổ sung.
Đối với cuộc tấn công này, thông tin đăng nhập quản trị trên máy ảo là bắt buộc. Do đó, CVE-2022-33675 không thể được sử dụng để mở rộng phạm vi tác động, nhưng có thể giúp đạt được các thông tin xác thực cho mục tiêu.
Để giải quyết tất cả các lỗ hổng, người dùng được khuyến cáo áp dụng các bản cập nhật của tháng này càng sớm càng tốt.
Các bản vá được đưa ra chỉ vài giờ sau khi Adobe vá 22 lỗ hổng ảnh hưởng đến Adobe Acrobat/Reader, Adobe Photoshop, Adobe RoboHelp và Adobe Character Animator, một số nghiêm trọng đến mức gây ra các cuộc tấn công thực thi mã tùy ý. Các bản vá áp dụng cho Adobe Acrobat và Reader cho Windows và macOS.
Theo Adobe, chưa có thông tin nào cho thấy các lỗ hổng đang bị khai thác trong thực tế.
Lỗ hổng (CVE-2022-22047, điểm CVSS là 7,8) tồn tại trong Client/Server Runtime Subsystem (csrss.exe). Khai thác thành công, kẻ tấn công có thể có được đặc quyền của hệ thống.
Microsoft không cung cấp bất kỳ chi tiết nào khác về các cuộc tấn công đang diễn ra, ngoài thông báo rằng lỗ hổng chưa được tiết lộ công khai.
CISA đã thêm lỗ hổng này vào Danh sách các lỗ hổng đang bị khai thác và yêu cầu các cơ quan liên bang vá lỗ hổng trong vòng 3 tuần tới.
Ngoài lỗ hổng trên, Patch Tuesday tháng này bao gồm bản vá cho ít nhất 84 lỗ hổng được ghi nhận trong hệ sinh thái Windows, nhưng không bao gồm bất kỳ bản sửa lỗi cho các lỗ hổng trong Windows 11 và Microsoft Teams được phát hiện tại cuộc thi Pwn2Own gần đây.
84 lỗ hổng được ghi nhận ảnh hưởng đến Microsoft Office, BitLocker, Microsoft Defender, Windows Azure và Windows Windows Hyper-V. 4 lỗi trong số này có mức độ nghiêm trọng cao nhất. Các lỗi còn lại được đánh giá là “quan trọng”.
Azure Site Recovery (ASR) chiếm hơn 1/3 số lỗ hổng được vá, với 32 lỗi có thể cho phép nâng cao đặc quyền hoặc thực thi mã từ xa. Trong số này, Microsoft đặc biệt nhấn mạnh lỗ hổng DLL hijacking (CVE-2022-33675, điểm CVSSv3 7,8).
Theo Tenable, công ty đã phát hiện và báo cáo lỗ hổng cho Microsoft, dịch vụ “cxprocessserver” của ASR chạy với các đặc quyền cấp HỆ THỐNG theo mặc định và tệp thực thi của nó nằm trong một thư mục được cấu hình sai cho phép bất kỳ người dùng nào cũng có quyền ‘ghi’. Do đó, người dùng bình thường có thể đặt các tệp DLL độc hại (ktmw32.dll) vào trong thư mục. Khi quá trình 'cxprocessserver' bắt đầu, nó sẽ tải DLL độc hại và thực thi bất kỳ lệnh với đặc quyền HỆ THỐNG.
Có được đặc quyền cấp quản trị trên hệ thống mục tiêu, kẻ tấn công có thể tự do thay đổi cài đặt an ninh của hệ điều hành, sửa đổi tài khoản người dùng, truy cập tất cả các tệp trên hệ thống và cài phần mềm bổ sung.
Đối với cuộc tấn công này, thông tin đăng nhập quản trị trên máy ảo là bắt buộc. Do đó, CVE-2022-33675 không thể được sử dụng để mở rộng phạm vi tác động, nhưng có thể giúp đạt được các thông tin xác thực cho mục tiêu.
Để giải quyết tất cả các lỗ hổng, người dùng được khuyến cáo áp dụng các bản cập nhật của tháng này càng sớm càng tốt.
Các bản vá được đưa ra chỉ vài giờ sau khi Adobe vá 22 lỗ hổng ảnh hưởng đến Adobe Acrobat/Reader, Adobe Photoshop, Adobe RoboHelp và Adobe Character Animator, một số nghiêm trọng đến mức gây ra các cuộc tấn công thực thi mã tùy ý. Các bản vá áp dụng cho Adobe Acrobat và Reader cho Windows và macOS.
Theo Adobe, chưa có thông tin nào cho thấy các lỗ hổng đang bị khai thác trong thực tế.
Theo Security Week, Bleeping Computer