Microsoft bỏ sót một lỗ hổng zero-day khiến hàng tỷ máy tính có thể gặp nguy hiểm

Microsoft đã biết về lỗ hổng bảo mật nhưng chưa cung cấp lịch trình phát hành bản sửa lỗi.

Theo một nhà nghiên cứu bảo mật, hàng tỷ máy tính Windows đều có khả năng gặp nguy hiểm vì một lỗ hổng zero-day mà Microsoft đã không vá cẩn thận.

Lỗ hổng này hiện tại chỉ là một proof-of-concept (kiểm tra tính khả thi), chưa bị đưa vào khai thác thực tế, nhưng nhà nghiên cứu bảo mật tin rằng chỉ một số chỉnh sửa nhỏ có thể dẫn đến việc nó bị tận dụng để tấn công diện rộng.

Microsoft bỏ sót một lỗ hổng zero-day khiến hàng tỷ máy tính có thể gặp nguy hiểm - Hình 1

Lỗ hổng lợi dụng một lỗi trong Windows Installer (CVE-2021-41379) mà Microsoft nói rằng đã vá vào đầu tháng này, trang BleepingComputer đã thử nghiệm và có thể dùng để mở công cụ CMD với quyền SYSTEM từ một tài khoản chỉ có quyền thông thường. Kẻ xấu có thể dùng quyền này để chạy bất cứ file thực thi nào trên máy với file MSI để chạy code dưới quyền admin. Quá trình này diễn ra trong chỉ vài giây.

Dù hiện tại vẫn chưa có gì đáng lo ngại về lỗ hổng này, nhưng nếu nó được lan rộng thì hàng tỷ máy tính có thể gặp nguy hiểm. Cách khai thác này cung cấp cho kẻ tấn công quyền quản trị viên trên cả Windows 10Windows 11. Tuy nhiên, đây không phải lỗ hổng có thể khai thác từ xa, nên kẻ xấu cần phải tiếp cận thiết bị mới thực hiện được.

Abdelhamid Naceri, người đã phát hiện ra lỗ hổng, cho biết anh quyết định công khai lỗi thay vì gửi cảnh báo trước cho Microsoft vì anh muốn phản đối việc Microsoft giảm số tiền thưởng cho những người tìm ra lỗi của Windows.

Microsoft giờ đây đã biết về lỗ hổng bảo mật nhưng chưa cung cấp lịch trình phát hành bản sửa lỗi. Naceri cũng khuyên các bên thứ ba không nên tự phát hành các bản vá vì làm như vậy sẽ khiến Windows Installer bị trục trặc.

Microsoft thừa nhận lỗ hổng zero-day Windows khai thác tài liệu trong Office 

Microsoft đã thừa nhận lỗ hổng zero-day của Windows trong MSHTML cho phép kẻ tấn công có thể thực thi mã từ xa.

Microsoft thừa nhận lỗ hổng zero-day Windows khai thác tài liệu trong Office - Hình 1

Microsoft thừa nhận lỗ hổng zero-day mới trong Windows

Theo Neowin , sự cố ảnh hưởng đến tất cả phiên bản từ Windows 7 đến Windows 10, và các bản phát hành Windows Server tương ứng. Công ty đang theo dõi lỗ hổng CVE-2021-40444 trong MSRC và cho biết thêm đã ghi nhận "các cuộc tấn công có chủ đích" đã được thực hiện bằng cách tạo tài liệu Office độc hại khai thác lỗ hổng. Vấn đề này được công ty đánh giá mức điểm 8,8 về độ nguy hiểm.

Công ty cho biết thêm kẻ tấn công có thể tạo điều khiển ActiveX để sử dụng bởi công cụ kết xuất trình duyệt MSHTML của Office. Khi người dùng mở ra công cụ này ra có thể cho phép thực thi mã từ xa. Tuy nhiên, những người sử dụng tùy chọn mặc định để mở tài liệu từ internet trong dạng Protected View hoặc Application Guard for Office có thể chống lại cuộc tấn công. Ngoài ra, Microsoft Defender Antivirus và Defender cho Endpoint có thể phát hiện thành công mối đe dọa, với cảnh báo hiển thị vói nội dung "Suspicious Cpl File Execution".

Một giải pháp khác được công ty đăng tải liên quan đến việc tắt cài đặt tất cả điều khiển ActiveX thông qua registry. Công ty lưu ý thay đổi sẽ không ảnh hưởng đến các điều khiển đã được cài đặt nhưng vẫn sẽ được bảo vệ.

Đối với việc khắc phục hoặc giảm thiểu vĩnh viễn lỗ hổng, Microsoft nói rằng họ sẽ thực hiện một "hành động thích hợp" khi hoàn thành cuộc điều tra của mình. Điều này có thể xuất hiện thông qua bản cập nhật Patch Tuesday tuần tới hoặc thông qua bản cập nhật bảo mật bổ sung khác.

Lỗ hổng nói trên được nhà nghiên cứu Haifei Li đến từ công ty an ninh mạng EXPMON phát hiện ra và cho biết đó là lỗ hổng có những rủi ro nghiêm trọng. Nó cũng có thể tấn công Windows 10 đang chạy phiên bản Office 365 mới nhất.

Bạn thấy bài báo này có hữu ích không?
Không

Tin liên quan

Tiêu điểm

Từng bị "cà khịa" cực gắt, Instagram lại tiếp tục copy một tính năng hot trên TikTok? 
13:25:32 15/01/2022
Thế Giới Di Động ưu đãi lớn cho người dùng Samsung 
11:59:04 15/01/2022
Chàng trai 29 tuổi kiếm tiền từ đồng hồ ‘ảo’, có chiếc được bán lại với giá ngang Rolex  
16:55:08 15/01/2022
Bóc giá chiếc loa sang xịn mịn, siêu đắt đỏ của Rosé (BLACKPINK), netizen săn lùng vì cháy hàng liên tục!
21:00:52 15/01/2022
Đây là thứ iPhone đang nói dối người dùng 
10:55:29 15/01/2022
Giải mã công nghệ màn hình tối tân nhất - QD OLED 
21:00:43 15/01/2022
Apple, Samsung, Xiaomi tăng cường mở chuỗi bán hàng riêng tại Việt Nam 
19:33:59 15/01/2022
Samsung sẽ ra mắt TV tấm nền OLED của LG Display vào cuối năm nay
21:31:21 15/01/2022
Bộ ảnh selfie giá 1 triệu USD 
18:24:06 15/01/2022
3 bước để giúp pin iPhone bền hơn 
11:32:45 16/01/2022

Thông tin đang nóng

“Anh lớn quận 8” đăng ảnh vợ bị shop Trang Nemo hành hung, nói 1 câu ấm áp: “Ck không để vợ thiệt thòi đâu”
01:02:32 17/01/2022
Nạn nhân vụ Trang Nemo: '7 người đàn ông đánh đập tôi'
08:13:06 17/01/2022
Một du khách Việt đi du lịch Nepal và đây là cảnh tượng "khó tin" anh chàng bắt gặp, netizen coi xong ai cũng ngỡ ngàng!
06:11:17 17/01/2022
Bạn thân Trần My đổ thêm dầu vào lửa, khẳng định "vụ này còn nhiều phần lắm" và quyết tố Trang Nemo tới cùng
07:45:21 17/01/2022
Toàn cảnh trận chiến giữa 2 nữ hoàng livestream Trang Nemo và Trần My vẫn chưa đến hồi kết, bạn của Trần My lên tiếng: Vụ này sẽ có nhiều phim lắm!
07:51:21 17/01/2022
Chú chó âm thầm "phóng sinh" giúp đàn ghẹ khỏi bị luộc, nhưng nơi diễn ra cuộc giải cứu khiến gia chủ cười sái cả quai hàm
05:55:53 17/01/2022
Trịnh Diễm Lệ: 2 lần bị "làm nhục", Khâu Thục Trinh ngó lơ, tháo chạy sang Việt Nam làm lại cuộc đời
07:49:47 17/01/2022
Nửa đầu năm 2022, 3 con giáp này là 'đệ nhất may mắn', có phúc có phần, giàu sang sung túc
06:58:44 17/01/2022
Khoảnh khắc Đệ nhất phu nhân Pháp hành động khác thường khiến bà dính tin đồn là người chuyển giới, giải thích không ai tin
06:04:09 17/01/2022
1 giây trước pha choảng nhau: Trang Nemo cười nói vuốt nhẹ vết kem trên cổ Trần My "chị nói em nghe nè..."
07:37:43 17/01/2022

Tin mới nhất

Trào lưu GameFi là kẻ thù của người chơi điện tử  

19:47:14 16/01/2022
Những game thủ trung thành kịch liệt phản đối kế hoạch tích hợp NFT, blockchain vào trò chơi của nhà phát hành

Quá chán với File Explorer của Windows? Đây là lựa chọn thay thế hoàn hảo dành cho bạn 

16:39:56 16/01/2022
Một File Explorer bản nâng cấp tuyệt vời mà người dùng luôn mong đợi Microsoft cập nhật cho Window

PC-Covid cảnh báo người dùng tiếp xúc với F0, hiển thị cấp độ vùng dịch điểm đến 

16:08:29 16/01/2022
Trong thời gian qua, ứng dụng phòng chống dịch quốc gia PC-Covid liên tục nhận bản cập nhật và được bổ sung những tính năng mới

Nhiều người dùng không hứng thú nâng cấp lên iOS 15 

16:08:26 16/01/2022
Bản cập nhật iOS 15 của Apple hiện chỉ được cài đặt trên 72% mẫu iPhone trong bốn năm qua, tụt hậu so với tỷ lệ chấp nhận iOS 14 tại cùng thời gian sau khi phát hành

Google mua văn phòng ở Anh với giá 1 tỉ USD 

16:08:23 16/01/2022
Google vừa thông báo họ đã mua các văn phòng ở Central Saint Giles tại London (Anh) với giá 1 tỉ USD, đồng thời tiếp tục đầu tư vào Vương quốc Anh

Trí tuệ nhân tạo giúp chống lại vi khuẩn chống thuốc kháng sinh 

16:08:20 16/01/2022
Việc sử dụng trí tuệ nhân tạo (AI) trong y học đã tạo ra nhiều đột phá đối với lĩnh vực này, nhờ khả năng phân tích khối lượng lớn dữ liệu một cách nhanh chóng, từ đó đưa ra các kết quả đánh giá cao

Intel Xeon sắp được làm mát bằng công nghệ Liquid Immersion Cooling mới 

16:08:17 16/01/2022
Bộ xử lý máy chủ và trung tâm dữ liệu của Intel Xeon có thể sớm được làm mát bằng cách sử dụng công nghệ làm mát bằng chất lỏng Liquid Immersion Cooling thế hệ tiếp theo

Máy lọc không khí Huawei Smart Selection 720 Full-Effect 2 ra mắt, giá 235 USD 

15:56:00 16/01/2022
Máy lọc không khí Huawei Smart Selection 720 Full-Effect thế hệ 2 vừa được ra mắt thay cho dòng 1S đã có từ năm 2018

TikTok Việt Nam: Ngay cả bố mẹ, thầy cô cũng thiếu kỹ năng để an toàn trên mạng 

15:50:52 16/01/2022
Theo đại diện TikTok Việt Nam, một thực trạng ở Việt Nam là không chỉ các em học sinh mà thậm chí cả bố mẹ, thầy cô giáo cũng thiếu một số kỹ năng, thậm chí là kỹ năng cơ bản để làm sao có thể an toàn trên mạng

Cách thay hình nền Safari trên iPhone 

15:48:38 16/01/2022
Người dùng iPhone chạy iOS 15 có thể tự tải lên hình nền cho Safari, hoặc chọn một trong số hình nền sẵn có. Cách thay đổi giao diện này chưa được biết đến nhiều

Xiaomi và OPPO chuẩn bị ra mắt công nghệ sạc siêu nhanh 200W

13:57:49 16/01/2022
Với công suất 200W, sạc đầy một viên pin dung lượng 4000mAh chỉ mất có 8 phút

Người dùng Android hài lòng với các bản cập nhật hơn người dùng iOS 

13:55:13 16/01/2022
43% người dùng iOS lo sợ gặp lỗi trên bản cập nhật mới, trong khi con số này ở người dùng Android là 34%

Dân Thổ Nhĩ Kỳ đổ hết vốn liếng tiết kiệm vào coin: 'Tiền ảo còn an toàn hơn cả đồng nội tệ!' 

13:52:57 16/01/2022
Tiền ảo đã trở nên phổ biến ở Thổ Nhĩ Kỳ và các khu vực của những nền kinh tế đang phát triển, nơi mà người dân mất lòng tin vào các chính sách kinh tế của chính phủ

Nhà đầu tư mất niềm tin vào Elon Musk 

11:30:21 16/01/2022
Dogecoin có đà tăng mạnh sau khi Elon Musk tuyên bố Tesla sẽ sớm chấp nhận thanh toán bằng đồng memecoin. Tuy nhiên, nhà đầu tư đã sớm cảnh giác điều này

Facebook có ý tưởng làm nhãn cầu robot giống mắt người 

11:12:20 16/01/2022
Bằng sáng chế mới của Facebook mô tả thiết bị hình cầu giống mắt người, được gắn vào một cái đầu robot với hàng loạt bộ phận cơ học

Macbook giúp Apple thắng lớn trên thị trường máy tính 

11:09:26 16/01/2022
Apple là thương hiệu tăng trưởng cao nhất trên thị trường máy tính cá nhân trong năm 2021 với tỷ lệ 28,3%, gần gấp đôi so với con số trung bình

Tiểu bang Mỹ chơi lớn, tặng hẳn Bitcoin trị giá 10.000 USD cho người chuyển đến ở 

21:00:46 15/01/2022
Ngoài số Bitcoin trị giá 10.000 USD, nơi đây còn tặng xe đạp hoặc thẻ thành viên miễn phí tới các rạp chiếu phim và bảo tàng tại địa phương cho người đến ở

HP 280 Pro G6 Microtower - người bạn đồng hành tin cậy trên con đường phát triển của doanh nghiệp 

20:23:32 15/01/2022
Để phát triển lâu dài, những người đứng đầu doanh nghiệp thường tìm kiếm và trang bị cho mình những hành trang công nghệ đáp ứng tối đa nhu cầu sử dụng của công việc, vừa phù hợp với nguồn lực tài chính của doanh nghiệp

Vũ trụ ảo có thể nguy hiểm với trẻ em ra sao? 

20:19:37 15/01/2022
Rất nhiều thiết bị thực tế ảo chưa có tính năng để phụ huynh có thể kiểm soát hoạt động của trẻ em. Bên cạnh đó, trẻ em cũng có thể gặp phải bạo lực hoặc lạm dụng trong vũ trụ ảo

Các nhà sản xuất chip sẽ thắng lớn khi metaverse phát triển 

20:01:03 15/01/2022
Giới phân tích cho rằng metaverse được thiết lập để mang lại lợi ích cho các nhà sản xuất chip trên toàn cầu. Tuy nhiên, các ngành liên quan đến công nghệ khác cũng có thể thu được lợi nhuận từ siêu vũ trụ ảo

Nga triệt phá nhóm hacker REvil theo yêu cầu của Mỹ 

20:01:00 15/01/2022
Theo Reuters, Cơ quan An ninh nội địa Liên bang Nga (FSB) hôm 14.1 đã bắt giữ và buộc tội các thành viên nhóm tội phạm mã độc tống tiền (ransomware) REvil theo yêu cầu của Mỹ

TSMC, MediaTek thuê hơn 10.000 nhân viên trong năm nay 

20:00:58 15/01/2022
Các công ty Đài Loan vẫn phải đối mặt với sự thúc đẩy mạnh mẽ của toàn cầu khi cuộc khủng hoảng chip chưa chấm dứt

Huawei tăng cường khả năng đóng gói chip để đối phó Mỹ 

19:44:57 15/01/2022
Theo Nikkei, Huawei Technologies đang tập trung vào khả năng đóng gói chip để giảm bớt tác động từ việc kìm kẹp của Mỹ, vốn đã làm giảm khả năng tiếp cận của công ty đối với công nghệ sản xuất chất bán dẫn quan trọng

Trung Quốc tiết lộ kế hoạch tham vọng phát triển nền kinh tế kỹ thuật số 

19:44:54 15/01/2022
Kế hoạch 5 năm lần thứ 14 về nền kinh tế kỹ thuật số của Trung Quốc có phạm vi rộng lớn, bao gồm từ truyền thông đến thương mại điện tử

TSMC chi kỷ lục 44 tỉ USD để mở rộng công suất 

19:44:51 15/01/2022
Nhà sản xuất chất bán dẫn khổng lồ của Đài Loan cho biết nhu cầu trên thế giới vẫn mạnh ngay cả khi cuộc khủng hoảng chip giảm bớt

Ask Jamie - trợ lý ảo tư vấn, giải đáp trong Chính phủ điện tử Singapore

19:44:44 15/01/2022
Nhằm giúp người dân và các doanh nghiệp tiếp cận tốt hơn với các dịch vụ trực tuyến của chính phủ, Singapore đã triển khai Ask Jamie - một trợ lý ảo được xây dựng trên sức mạnh của trí tuệ nhân tạo

Có thể bạn quan tâm

COVID-19 tàn phá chiến dịch World Cup của đội nữ Việt Nam

Bóng đá việt nam

09:03:48 17/01/2022
HLV Mai Đức Chung và sáu cầu thủ vừa đáp chuyến bay dài sang Ấn Độ để chuẩn bị tham dự vòng chung kết Asian Cup 2022, trong khi 17 cầu thủ khác phải ở lại Tây Ban Nha vì dương tính với COVID-19

Sinh viên mong trở lại trường sau Tết

Học hành

09:03:18 17/01/2022
Trải qua thời gian khá dài không thể đi học trực tiếp do ảnh hưởng của dịch bệnh, sinh viên các trường đại học, cao đẳng ở Hà Nội hi vọng được trở lại trường ngay sau kì nghỉ Tết

Tiền vệ suýt mất mạng tại EURO 2020 tái xuất Premier League?

Bóng đá thế giới

09:01:51 17/01/2022
Christian Eriksen dường như đang liên hệ để quay trở lại chơi bóng tại Premier League sau khi đã phẫu thuật cấy ghép máy khử rung tim trong thời gian vừa qua

Ai thèm cái danh "Tiểu Long Nữ đẹp nhất", Lưu Diệc Phi từng tung "cú nổ" nhan sắc với màn đu idol đỉnh cao này đây!

Hậu trường phim

09:00:59 17/01/2022
Sắc đẹp của Lưu Diệc Phi còn khiến thần tượng nổi tiếng phải si mê ngược lại

Hạt sạn bi hài nhất phim Hàn: Ekip để sót cảnh diễn viên bị đánh văng búa vào mặt, nên khóc hay cười đây?

Phim châu á

08:59:31 17/01/2022
Hạt sạn kinh điển một thời ở Six Flying Dragons bị khán giả đào lại

Nơi có nhiều phụ nữ xinh đẹp mà đàn ông trên thế giới muốn tới ở để lấy vợ

Người đẹp

08:58:35 17/01/2022
Ukraine vẫn được biết đến như cái nôi sản sinh ra các mỹ nữ hàng đầu thế giới. Vẻ đẹp của phụ nữ Ukraine là sự pha trộn giữa các đường nét châu Âu và sự dịu dàng, e ấp đặc trưng của châu Á, khiến người ta ngắm mãi cũng không nỡ rời mắt

Cát Tường nổi đóa khi liên tục bị làm phiền, đòi sao kê

Sao việt

08:58:30 17/01/2022
Dù đã đính chính phát ngôn, song MC Cát Tường vẫn bị một bộ phận anti-fan tấn công

Tăng Phúc “bắt tay” với Trịnh Thăng Bình gây nhức nhối với ca khúc mới

Nhạc việt

08:57:42 17/01/2022
Trong dòng chảy những ca khúc Xuân nở rộ cận dịp Tết Nguyên Đán 2022, dự án mới của Tăng Phúc có sự khác biệt về cảm xúc và mới lạ so với các MV trước đó

'Người đẹp số 1 châu Á' Clara Lee khoe ảnh sinh nhật, nhan sắc tuổi 36 ngày càng ngọt ngào gợi cảm bảo sao ông xã đại gia cưng chiều như công chúa

Phong cách sao

08:55:56 17/01/2022
Clara Lee mừng sinh nhật bằng ảnh khoe nhẫn cưới trong bữa tiệc lãng mạn được tổ chức bởi ông xã đại gia, nhan sắc ở tuổi 36 khiến dân mạng trầm trồ

Sáng 17/1: Hơn 5.100 bệnh nhân COVID-19 nặng đang điều trị; 33 tỉnh, thành là vùng xanh - cấp độ 1 về dịch

Sự kiện nóng

08:54:02 17/01/2022
Bộ Y tế cho biết đến nay đã có hơn 1,72 triệu bệnh nhân COVID-19 khỏi, trong số các ca đang điều trị có hơn 5.100 bệnh nhân nặng; Theo thống kê của Bộ Y tế đến nay có 33 tỉnh, thành là vùng xanh- cấp độ 1 về dịch COVID-19

Cuộc đời khổ sở của dàn cast Harry Potter đằng sau ống kính: Nam chính nghiện rượu vì phim, 1 diễn viên chính ung thư nặng vẫn cống hiến!

Phim âu mỹ

08:52:41 17/01/2022
Đằng sau thế giới Harry Potter hoành tráng là rất nhiều bí mật bất ngờ, cho thấy sự khắc nghiệt của điện ảnh Hollywood

Điện Biên: Bắt giữ đối tượng truy nã sau 3 năm lẩn trốn

Pháp luật

08:52:20 17/01/2022
Tối 16/1, Bộ Chỉ huy Bộ đội Biên phòng tỉnh Điện Biên cho biết: Đồn Biên phòng cửa khẩu quốc tế Tây Trang (Bộ đội Biên phòng tỉnh Điện Biên) đã phối hợp với các lực lượng chức năng bắt giữ một đối tượng bị truy nã về tội vô ý làm chết n...