Người dùng Windows nên cập nhật ngay lập tức để vá 6 lỗ hổng nguy hiểm
Mới đây, Microsoft đã phát hành bản cập nhật mới nhằm khắc phục 68 lỗ hổng bảo mật, trong đó có 6 lỗ hổng zero-day được khai thác tích cực trong tự nhiên.
Chia sẻ với The Hacker News, Greg Wiseman, giám đốc sản phẩm của Rapid7 cho biết 2 lỗ hổng zero-day ảnh hưởng đến Exchange Server (được công khai vào cuối tháng 9-2022) cuối cùng đã được Microsoft khắc phục. “Người dùng nên cập nhật hệ thống Exchange Server ngay lập tức, bất kể có áp dụng các giải pháp giảm thiểu rủi ro trước đó hay không”.
Danh sách các lỗ hổng được khai thác tích cực, cho phép nâng cao đặc quyền và thực thi mã từ xa, bao gồm:
- CVE-2022-41040 (điểm CVSS: 8.8)
- CVE-2022-41082 (điểm CVSS: 8.8)
- CVE-2022-41128 (điểm CVSS: 8.8)
- CVE-2022-41125 (điểm CVSS: 7.8)
Video đang HOT
- CVE-2022-41073 (điểm CVSS: 7.8)
- CVE-2022-41091 (điểm CVSS: 5.4)
Hai nhà nghiên cứu Benot Sevens và Clément Lecigne thuộc Nhóm Phân tích Mối đ.e dọ.a (TAG) của Google là người đã báo cáo lỗ hổng CVE-2022-41128, xảy ra khi mục tiêu bị lừa truy cập một trang web được chế tạo đặc biệt.
CVE-2022-41091 là một trong hai lỗi bỏ qua bảo mật trong Windows Mark of the Web (MotW). Gần đây lỗ hổng này đã được ransomware Magniber lợi dụng để nhắm mục tiêu người dùng bằng các bản cập nhật phần mềm giả mạo.
Lỗ hổng MotW thứ hai cần giải quyết là CVE-2022-41049 (hay còn gọi là ZippyReads), được báo cáo bởi nhà nghiên cứu bảo mật Will Dormann.
Kev Breen, giám đốc nghiên cứu mối đ.e dọ.a mạng tại Immersive Labs, cho biết hai lỗ hổng leo thang đặc quyền trong Print Spooler (CVE-2022-41073) và CNG Key Isolation Service (CVE-2022-41125) có thể sẽ bị các tác nhân đ.e dọ.a lạm dụng và giành được các đặc quyền hệ thống.
Ngoài những vấn đề này, bản cập nhật mới cũng giải quyết một số lỗi thực thi mã từ xa trong Microsoft Excel, Word, ODBC Driver, Office Graphics, SharePoint Server và Visual Studio, cũng như một số lỗi leo thang đặc quyền trong Win32k, Overlay Filter và Group Policy.
Các lỗ hổng zero-day có thể bị khai thác trong vòng 14 ngày
Theo Microsoft, tin tặc chỉ mất khoảng 14 ngày để khai thác thành công sau khi thông tin của lỗ hổng zero-day được tiết lộ công khai.
Ban đầu, các cuộc tấ.n côn.g zero-day bị giới hạn về phạm vi, nhưng xu hướng này đã nhanh chóng được nhiều nhóm tin tặc sử dụng.
Trong Báo cáo Quốc phòng Kỹ thuật số dài 114 trang, Microsoft nhận thấy thời gian khai thác lỗ hổng của tin tặc đã giảm chỉ còn khoảng 14 ngày sau khi thông tin của lỗ hổng được tiết lộ công khai. Điều này đồng nghĩa với việc các tổ chức bị ảnh hưởng phải phát hành bản vá lỗi càng sớm càng tốt.
Vào tháng 4-2022, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) phát hiện ra rằng tin tặc đang đẩy mạnh khai thác, tấ.n côn.g bằng cách tận dụng các lỗ hổng phần mềm.
Công ty cáo buộc các nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn đặc biệt thành thạo trong việc phát hiện và khai thác lỗ hổng zero-day.
Vào tháng 9-2021, Cục Quản lý Không gian mạng Trung Quốc (CAC) đã ban hành một quy định mới liên quan đến việc báo cáo lỗ hổng bảo mật. Cụ thể, quy định yêu cầu lỗ hổng bảo mật phải được báo cáo cho chính phủ trước khi chia sẻ cho các nhà phát triển sản phẩm.
Microsoft nói rằng quy định này cho phép các nhóm tin tặc được chính phủ hậu thuẫn khai thác lỗ hổng trước khi chúng được vá, thúc đẩy hoạt động gián điệp vì lợi ích kinh tế và quân sự của Trung Quốc, theo The Hacker News.
Có khá nhiều lỗ hổng được các tác nhân Trung Quốc khai thác trước khi bị phát hiện, đơn cử như:
- CVE-2021-35211 (điểm CVSS: 10.0) - Một lỗ hổng thực thi mã từ xa trong SolarWinds Serv-U Managed File Transfer Server và phần mềm Serv-U Secure FTP đã bị DEV-0322 khai thác.
- CVE-2021-40539 (điểm CVSS: 9.8) - Một lỗ hổng bỏ qua xác thực trong Zoho ManageEngine ADSelfService Plus đã bị DEV-0322 (TiltedTemple) khai thác.
- CVE-2021-44077 (điểm CVSS: 9.8) - Một lỗ hổng thực thi mã từ xa chưa được xác thực trong Zoho ManageEngine ServiceDesk Plus đã bị DEV-0322 (TiltedTemple) khai thác.
- CVE-2021-42321 (điểm CVSS: 8.8) - Một lỗ hổng thực thi mã từ xa trong Microsoft Exchange Server đã bị khai thác ba ngày sau khi nó được tiết lộ trong cuộc thi hack Tianfu Cup vào ngày 16 và 17-10-2021.
- CVE-2022-26134 (điểm CVSS: 9.8) - Một lỗ hổng trong Atlassian Confluence, có khả năng đã được tận dụng bởi một tác nhân liên kết với Trung Quốc chống lại một thực thể giấu tên của Mỹ vài ngày trước khi lỗ hổng được tiết lộ vào ngày 2-6.
Những phát hiện này cũng được đưa ra gần một tháng sau khi CISA công bố danh sách các lỗ hổng hàng đầu được tin tặc Trung Quốc sử dụng kể từ năm 2020 để đán.h cắp tài sản trí tuệ, và phát triển quyền truy cập vào các mạng nhạy cảm.
"Lỗ hổng zero-day là một phương tiện đặc biệt hiệu quả để khai thác ban đầu, dễ dàng được tái sử dụng bởi các quốc gia quốc gia và các tin tặc", công ty cho biết.
Microsoft vá hơn 100 lỗ hổng bảo mật trong tháng 4 Microsoft phải xử lý các lỗ hổng zero-day nghiêm trọng trong số hơn 100 lỗi được tìm thấy trên các phần mềm phổ biến như Windows, Office, Edge... Trong bản cập nhật bảo mật Patch Tuesday tháng 4, Microsoft đã vá hơn 100 lỗ hổng, bao gồm nhiều lỗ hổng thực thi mã từ xa (RCE), vấn đề leo thang đặc quyền (EoP),...