Security365 – Trung Tâm Đào Tạo Trực Tuyến Hacker Thiện Chí & Điều Tra Viên Máy Tính theo chuẩn ANSI của NSA và Bộ Quốc Phòng Mỹ

(TP) Microsoft đã sửa 110 lỗ hổng, trong đó 19 lỗ hổng được phân loại là nghiêm trọng và một lỗ hổng khác đang bị tấn công tích cực.

Hôm thứ Ba, Microsoft đã hoàn tất việc loại bỏ 5 lỗ hổng zero-day, một lỗ hổng đang bị tấn công tích cực và áp dụng nhiều bản vá hơn cho phần mềm Microsoft Exchange Server đang gặp sự cố của mình .

Tổng cộng, Microsoft đã phát hành các bản vá cho 110 lỗ hổng bảo mật, 19 lỗ hổng được phân loại là nghiêm trọng về mức độ nghiêm trọng và 88 lỗ được coi là quan trọng. Điều nghiêm trọng nhất trong số những lỗ hổng được tiết lộ được cho là lỗ hổng đặc quyền nâng cao Win32k ( CVE-2021-28310 ) đang bị khai thác trong tự nhiên bởi nhóm tội phạm mạng BITTER APT.

Khai thác tích cực Zero-Day

“Chúng tôi tin rằng cách khai thác này được sử dụng trong tự nhiên, có khả năng bị một số tác nhân đe dọa. Đó là sự gia tăng của khai thác đặc quyền (EoP) có khả năng được sử dụng cùng với các khai thác trình duyệt khác để thoát khỏi hộp cát hoặc nhận các đặc quyền hệ thống để truy cập thêm, ”Kaspersky viết trong một báo cáo hôm thứ Ba nêu chi tiết phát hiện của mình.

Lỗi này là một lỗ hổng ghi ngoài giới hạn trong thư viện dwmcore.dll của Windows, là một phần của Trình quản lý cửa sổ máy tính (dwm.exe). Các nhà nghiên cứu của Kaspersky, Boris Larin, Costin Raiu và Brian Bartholomew, đồng tác giả của báo cáo, viết: “Do thiếu kiểm tra giới hạn, những kẻ tấn công có thể tạo ra một tình huống cho phép chúng ghi dữ liệu được kiểm soát tại một điểm bù có kiểm soát .

Đáng lưu ý, Cơ quan An ninh Quốc gia Hoa Kỳ đã công bố thông tin về bốn lỗ hổng Exchange Server nghiêm trọng ( CVE-2021-28480 ,  CVE-2021-28481 ,  CVE-2021-28482 ,  CVE-2021-28483 ) ảnh hưởng đến các phiên bản được phát hành từ năm 2013 đến 2019.

“Những lỗ hổng này đã được đánh giá là ‘khả năng khai thác nhiều hơn’ bằng cách sử dụng Chỉ số khả năng khai thác của Microsoft. Hai trong số bốn lỗ hổng (CVE-2021-28480, CVE-2021-28481) là xác thực trước, có nghĩa là kẻ tấn công không cần xác thực máy chủ Exchange dễ bị tấn công để khai thác lỗ hổng. Với sự quan tâm mạnh mẽ đến Exchange Server kể từ tháng trước, điều quan trọng là các tổ chức phải áp dụng các bản vá Exchange Server này ngay lập tức, ”Satnam Narang, kỹ sư nghiên cứu nhân viên của Tenable đã viết trong bài bình luận chia sẻ với Threatpost.

Microsoft lưu ý rằng hai trong số bốn lỗi Exchange được NSA báo cáo cũng đã được tìm thấy trong nội bộ nhóm nghiên cứu của chính họ.

Microsoft cũng bao gồm các bản vá cho trình duyệt web Edge dựa trên Chromium, Azure và Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server và Visual Studio.

Lỗi thực thi mã từ xa của Office

Một số vấn đề do tính chất phổ biến của Microsoft Office là bốn lỗ hổng thực thi mã từ xa (RCE) được vá trong tháng này trong bộ năng suất. Microsoft Word ( CVE-2021-28453 ) và Excel ( CVE-2021-28454 ,  CVE-2021-28451 ) bị ảnh hưởng và lỗi thứ tư ( CVE-2021-28449 ) chỉ được liệt kê là đang ảnh hưởng đến Microsoft Office. Các bản cập nhật được đánh giá là “quan trọng” và theo Microsoft, ảnh hưởng đến tất cả các phiên bản của Office bao gồm cả Office 365.

Jay Goodman, giám đốc tiếp thị sản phẩm tại Automox, đã lưu ý trong bài bình luận Patch Friday của mình rằng các lỗ hổng bảo mật của Microsoft trong tháng này bao gồm một số lỗ hổng được xác định là lỗi RCE thời gian chạy thủ tục từ xa (RPC).

“RPC là một giao thức được sử dụng để yêu cầu một dịch vụ từ một chương trình nằm trên một máy tính hoặc thiết bị khác trong cùng một mạng,” ông giải thích. “Các lỗ hổng cho phép thực thi mã từ xa trên hệ thống đích. Lỗ hổng có thể bị khai thác bằng cách gửi một yêu cầu RPC được chế tạo đặc biệt. Tùy thuộc vào đặc quyền của người dùng, kẻ tấn công có thể cài đặt chương trình, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản người dùng bổ sung với đầy đủ quyền của người dùng ”.

Microsoft đánh dấu loại lỗ hổng là “ít khả năng bị khai thác hơn”, tuy nhiên, chúng tôi khuyến khích nhanh chóng vá và khắc phục bất kỳ lỗ hổng RCE nào trên hệ thống, Goodman cho biết: “Để lại các lỗ hổng tiềm ẩn với việc khai thác RCE có thể dễ dàng dẫn đến một cuộc tấn công lây lan nhanh hơn”.

Bản cập nhật Bản vá thứ Ba tháng 4 của Microsoft được bổ sung bởi hàng loạt bản vá lỗi hàng tháng của Adobe, giải quyết 10 lỗi bảo mật , 7 trong số đó là nghiêm trọng.

Security365 – Trung Tâm Đào Tạo Trực Tuyến Hacker Thiện Chí & Điều Tra Viên Máy Tính theo chuẩn ANSI của NSA và Bộ Quốc Phòng Mỹ