Hôm thứ Ba Microsoft đã phát hành các bản cập nhật để giải quyết tổng cộng 132 lỗi bảo mật mới trên phần mềm của mình, bao gồm sáu lỗ hổng zero-day mà hãng cho biết đã bị khai thác tích cực trong thực tế.

Trong số 132 lỗ hổng, 9 lỗ hổng được xếp hạng Nghiêm trọng, 122 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng và một lỗ hổng được chỉ định mức độ nghiêm trọng là “Không”. Đây là bổ sung cho tám lỗ hổng mà gã khổng lồ công nghệ đã vá trong trình duyệt Edge dựa trên Chromium của họ vào cuối tháng trước.

Danh sách các vấn đề đã được khai thác tích cực như sau –

• CVE-2023-32046 (điểm CVSS: 7,8) – Độ cao của lỗ hổng đặc quyền của nền tảng Windows MSHTML
• CVE-2023-32049 (điểm CVSS: 8,8) – Lỗ hổng bỏ qua tính năng bảo mật Windows SmartScreen
• CVE-2023-35311 (điểm CVSS: 8,8) – Lỗ hổng bỏ qua tính năng bảo mật của Microsoft Outlook
• CVE-2023-36874 (Điểm CVSS: 7,8) – Dịch vụ báo cáo lỗi Windows Độ cao của lỗ hổng đặc quyền
• CVE-2023-36884 (Điểm CVSS: 8,3) – Lỗ hổng thực thi mã từ xa HTML của Office và Windows (Cũng được biết đến rộng rãi tại thời điểm phát hành)
• ADV230001 – Sử dụng ác ý trình điều khiển do Microsoft ký cho hoạt động sau khai thác (không chỉ định CVE)

Nhà sản xuất Windows cho biết họ biết về các cuộc tấn công có chủ đích nhằm vào các tổ chức quốc phòng và chính phủ ở Châu Âu và Bắc Mỹ đang cố gắng khai thác CVE-2023-36884 bằng cách sử dụng các tài liệu Microsoft Office được chế tạo đặc biệt liên quan đến Đại hội Thế giới Ukraine, lặp lại những phát hiện mới nhất từ ​​CERT- UA và BlackBerry .

Microsoft cho biết: “Kẻ tấn công có thể tạo một tài liệu Microsoft Office được chế tạo đặc biệt cho phép chúng thực hiện thực thi mã từ xa trong ngữ cảnh của nạn nhân. “Tuy nhiên, kẻ tấn công sẽ phải thuyết phục nạn nhân mở tệp độc hại.”

Công ty đã gắn cờ chiến dịch xâm nhập cho một nhóm tội phạm mạng Nga mà họ theo dõi là Storm-0978, nhóm này còn được biết đến với các tên RomCom, Tropical Scorpius, UNC2596 và Void Rabisu.

Nhóm Microsoft Threat Intelligence giải thích : “Kẻ tấn công cũng triển khai phần mềm tống tiền ngầm, có liên quan chặt chẽ với phần mềm tống tiền Gián điệp công nghiệp lần đầu tiên được phát hiện trong thực tế vào tháng 5 năm 2022” . “Chiến dịch mới nhất của nam diễn viên được phát hiện vào tháng 6 năm 2023 liên quan đến việc lạm dụng CVE-2023-36884 để cung cấp một cửa hậu tương tự như RomCom.”

Các cuộc tấn công lừa đảo gần đây do kẻ tấn công dàn dựng đã kéo theo việc sử dụng các phiên bản trojan của phần mềm hợp pháp được lưu trữ trên các trang web tương tự để triển khai trojan truy cập từ xa có tên RomCom RAT nhằm vào các mục tiêu Ukraine và thân Ukraine khác nhau ở Đông Âu và Bắc Mỹ.

Microsoft cho biết họ dự định thực hiện “hành động thích hợp để giúp bảo vệ khách hàng ” dưới dạng bản cập nhật bảo mật ngoài phạm vi hoặc thông qua quy trình phát hành hàng tháng. Trong trường hợp không có bản vá cho CVE-2023-36884, công ty đang kêu gọi người dùng sử dụng quy tắc ” Chặn tất cả các ứng dụng Office khỏi tạo quy trình con ” quy tắc giảm bề mặt tấn công (ASR).

Redmond cho biết thêm rằng họ đã thu hồi các chứng chỉ ký mã được sử dụng để ký và cài đặt trình điều khiển chế độ nhân độc hại trên các hệ thống bị xâm nhập bằng cách khai thác lỗ hổng chính sách của Windows để thay đổi ngày ký của trình điều khiển trước ngày 29 tháng 7 năm 2015, bằng cách sử dụng các công cụ nguồn mở như HookSignTool và FuckCertVerifyTimeValidity.

Các phát hiện cho thấy rằng việc sử dụng trình điều khiển chế độ nhân giả mạo đang thu hút sự chú ý của các tác nhân đe dọa khi chúng hoạt động ở mức đặc quyền cao nhất trên Windows, do đó có thể thiết lập tính bền vững trong thời gian dài đồng thời can thiệp vào hoạt động của phần mềm bảo mật để trốn tránh sự phát hiện.

Hiện vẫn chưa rõ các lỗ hổng khác đang bị khai thác như thế nào và mức độ lan rộng của các cuộc tấn công đó. Nhưng trước tình trạng lạm dụng tích cực, người dùng nên nhanh chóng áp dụng các bản cập nhật để giảm thiểu các mối đe dọa tiềm ẩn.

Bản vá phần mềm từ các nhà cung cấp khác

Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm —

• adobe
• AMD
• Android
• Dự án Apache
• Apple ( đã được gỡ bỏ)
• Mạng Aruba
• Cisco
• Citrix
• CODESYS
• Dell
• drupal
• F5
• Fortinet
• GitLab
• Google Chrome
• Năng lượng Hitachi
• HP
• IBM
• Mạng Juniper
• lenovo
• Các bản phân phối Linux Debian , Oracle Linux , Red Hat , SUSE và Ubuntu
• Mediatek
• Điện Mitsubishi
• Mozilla Firefox, Firefox ESR và Thunderbird
• NETGEAR
• NVIDIA
• Tiến độ Chuyển MOVEit
• Qualcomm
• SAMSUNG
• nhựa cây
• Chuyên gia năng lượng
• Siemens
• đồng bộ
• VMware
• Thu phóng và
• Zyxel

THN – CEH VIETNAM