[TP/Security365] Bản cập nhật bản vá thứ ba trong tháng 3 được lên lịch thường xuyên của Microsoft giải quyết 89 CVE , giúp khắc phục 89 lỗ hổng bảo mật nói chung.

Bao gồm 14 lỗi nghiêm trọng (critical ) và 75 sai sót nghiêm trọng quan trọng (portant-severity) . Đợt vá lỗi này của Microsoft cũng bao gồm năm lỗ hổng đã được tiết lộ trước đây, đang được khai thác tích cực.

Bốn trong số các lỗ hổng được khai thác tích cực (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065), được tìm thấy trong Microsoft Exchange , đã được tiết lộ như một phần của bản vá khẩn cấp vào đầu tháng này của Microsoft ; các doanh nghiệp đang khẩn trương để vá hệ thống của họ khi các lỗi tiếp tục được khai thác trong các cuộc tấn công có chủ đích. Lưu ý , tại Việt Nam có hơn 100 máy chủ có khả năng tồn tại ac1c lỗ hổng này.

Lỗ hổng thứ năm được khai thác tích cực tồn tại trong trình duyệt Internet Explorer và Microsoft Edge ( CVE-2021-26411 ). Mã khai thác Proof-of-concept (PoC) cũng tồn tại cho lỗ hổng này, theo Microsoft.

“Trong cả tháng 3, Microsoft đã phát hành các bản vá cho 89 CVE duy nhất bao gồm các thành phần Microsoft Windows, Azure và Azure DevOps, Azure Sphere, Internet Explorer và Edge (EdgeHTML), Exchange Server, Office và Office Services và Web Apps, SharePoint Server, Visual Studio và Windows Hyper-V, ”Dustin Childs với Sáng kiến ​​Zero Day của Trend Micro, cho biết hôm thứ Ba .

Lỗi bị Khai thác Tích cực của Internet Explorer

Lỗ hổng làm hỏng bộ nhớ ( CVE-2021-26411 ) trong Internet Explorer và Microsoft Edge có thể cho phép thực thi mã từ xa. Các nhà nghiên cứu cho biết lỗ hổng lỗi có thể cho phép kẻ tấn công chạy mã trên các hệ thống bị ảnh hưởng, nếu nạn nhân xem một tệp HTML nguy hiểm.

Childs cho biết: “Mặc dù không ảnh hưởng nhiều như lỗi Exchange, nhưng các doanh nghiệp dựa vào trình duyệt của Microsoft cần nhanh chóng xử lý vấn đề này. “Khai thác thành công sẽ mang lại khả năng thực thi mã ở cấp độ của người dùng đã đăng nhập, đây là một lời cảnh báo không nên duyệt các trang web bằng tài khoản có đặc quyền quản trị”.

Mã khai thác PoC cũng được công bố công khai và lỗi này được “gắn với một lỗ hổng bảo mật” đã được các nhà nghiên cứu ENKI tiết lộ công khai vào đầu tháng Hai . Các nhà nghiên cứu tuyên bố đây là một trong những lỗ hổng được sử dụng trong một chiến dịch phối hợp của các quốc gia-nhà nước nhằm nhắm mục tiêu vào các nhà nghiên cứu bảo mật và họ cho biết họ sẽ công bố mã khai thác PoC cho lỗ hổng này sau khi lỗi được vá.

“Như chúng ta đã thấy trước đây, một khi thông tin chi tiết về PoC được công bố công khai, những kẻ tấn công sẽ nhanh chóng kết hợp các PoC đó vào bộ công cụ tấn công của chúng,” theo Satnam Narang, kỹ sư nghiên cứu nhân viên tại Tenable. “Chúng tôi đặc biệt khuyến khích tất cả các tổ chức có sử dụng Internet Explorer và Microsoft Edge (Dựa trên EdgeHTML) cài đặt các bản vá này càng sớm càng tốt.”

Mã khai thác PoC có sẵn cho lỗi nâng cao đặc quyền của Windows

Ngoài năm lỗ hổng được khai thác tích cực, Microsoft đã phát hành một bản vá cho lỗ hổng trong Win32K mà mã khai thác PoC công khai cũng có sẵn. Lỗ hổng này được xếp hạng quan trọng về mức độ nghiêm trọng và tồn tại trong Windows Win32K ( CVE-2021-27077 ). Theo Microsoft, kẻ tấn công cục bộ có thể khai thác lỗ hổng này để đạt được các đặc quyền cao hơn. Trong khi mã khai thác PoC có sẵn cho lỗ hổng này, gã khổng lồ công nghệ cho biết nó chưa được khai thác trong tự nhiên và việc khai thác đó “ít có khả năng xảy ra hơn”.

Các lỗ hổng quan trọng khác của Microsoft

Microsoft đã vá tổng thể 14 lỗ hổng nghiêm trọng trong bản cập nhật Patch Tuesday của tháng này, bao gồm ( CVE-2021-26897 ), tồn tại trong máy chủ DNS của Windows và có thể cho phép thực thi mã từ xa. Lỗ hổng này là một trong bảy lỗ hổng trong máy chủ DNS của Windows; sáu bản vá còn lại dành ch các lỗi được xếp hạng mức độ nghiêm trọng quan trọng. Lỗ hổng nghiêm trọng-nghiêm trọng có thể bị kẻ tấn công khai thác với ngữ cảnh hiện có trên cùng một mạng với thiết bị dễ bị tấn công; độ phức tạp của cuộc tấn công đối với một cuộc tấn công như vậy là “thấp.”

Một lỗ hổng thực thi mã từ xa nghiêm trọng cũng tồn tại trong sản phẩm ảo hóa phần cứng Windows Hyper-V của Microsoft ( CVE-2021-26867 ), có thể cho phép kẻ tấn công đã xác thực thực thi mã trên máy chủ Hyper-V. Childs cho biết: “Mặc dù được liệt kê là CVSS 9.9, lỗ hổng bảo mật thực sự chỉ liên quan đến những người sử dụng hệ thống tệp Plan-9. “Microsoft không liệt kê các máy khách Hyper-V khác bị ảnh hưởng bởi lỗi này, nhưng nếu bạn đang sử dụng Plan-9, hãy chắc chắn triển khai bản vá này càng sớm càng tốt.”

Một lỗi khác cần lưu ý là lỗ hổng thực thi mã từ xa hiện có trên Máy chủ SharePoint của Microsoft ( CVE-2021-27076 ). Theo Microsoft, lỗ hổng này có thể bị khai thác bởi kẻ tấn công từ xa trên cùng mạng với nạn nhân và có độ phức tạp của cuộc tấn công thấp nên khả năng bị khai thác cao hơn.

“Để một cuộc tấn công thành công, kẻ tấn công phải có khả năng tạo hoặc sửa đổi các trang web bằng máy chủ SharePoint,” theo Childs. “Tuy nhiên, cấu hình mặc định của SharePoint cho phép người dùng đã xác thực tạo các site. Khi họ làm như vậy, người dùng sẽ là chủ sở hữu của trang web này và sẽ có tất cả các quyền cần thiết. ”

Cập nhật Microsoft Exchange: Bản vá cần vá ngay lập tức

Các bản cập nhật Microsoft Patch Tuesday được đưa ra khi các doanh nghiệp vật lộn với các lỗ hổng zero-day hiện có của Microsoft Exchange đã được tiết lộ trước đó và tiếp tục được sử dụng trong các hoạt động khai thác. Nhìn chung, Microsoft đã phát hành các bản sửa lỗi ngoài phạm vi cho bảy lỗ hổng – bốn trong số đó là các lỗ hổng đang được khai thác tích cực.

Hôm thứ Hai, Cơ quan Ngân hàng Châu Âu đã tiết lộ một cuộc tấn công mạng mà họ cho rằng bắt nguồn từ việc khai thác lỗ hổng Microsoft Exchange. Ngoài Cơ quan Ngân hàng Châu Âu, một báo cáo gần đây cho biết ít nhất 30.000 tổ chức trên khắp Hoa Kỳ đã bị tấn công bởi những kẻ tấn công khai thác lỗ hổng.

Childs nói: “Nếu bạn chạy Exchange tại chỗ, bạn cần tuân theo hướng dẫn đã xuất bản và áp dụng các bản vá lỗi càng sớm càng tốt. “Microsoft thậm chí đã thực hiện một bước đặc biệt trong việc tạo các bản vá lỗi cho các phiên bản Exchange không được hỗ trợ. Bỏ qua những cập nhật này với nguy cơ của riêng bạn. “

BQT Security365 / Đông Dương