Microsoft
Trung tuần tháng 11, Microsoft đã phát hành bản vá cho 63 lỗ hổng, trong đó có 03 lỗ hổng được đánh giá mức độ nghiêm trọng, 56 lỗ hổng quan trọng và 04 lỗ hổng trung bình. Bản vá tháng này đặc biệt đáng chú ý vào 10 lỗ hổng an toàn thông tin có mức ảnh hưởng cao và nghiêm trọng sau:
Thứ nhất, lỗ hổng CVE-2023-36397 tồn tại trong Windows Pragmatic General Multicast, cho phép đối tượng tấn công không cần xác thực có thể thực thi mã từ xa.
Thứ hai, CVE-2023-36400 trong Windows HMAC Key Derivation cho phép đối tượng tấn công thực hiện leo thang đặc quyền.
Thứ ba, CVE-2023-36025 cho phép đối tượng tấn công vượt qua tính năng bảo mật SmartScreen của Windows. Lỗ hổng này hiện ghi nhận đang bị khai thác trong thực tế.
Thứ tư, CVE-2023-36038 trong ASP.NET Core cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ. Hiện thông tin chi tiết về lỗ hổng đã được công bố công khai.
Thứ năm, CVE-2023-36439 trong Microsoft Exchange Server cho phép đối tượng tấn công thực thi mã từ xa.
Thứ sáu, CVE-2023-36033 trong Windows Desktop Manager cho phép đối tượng tấn công thực hiện leo thang đặc quyền. Giống như lỗ hổng CVE-2023-36025, lỗ hổng này hiện đang bị khai thác trong thực tế.
Thứ bảy, CVE-2023-36036 trong Windows Cloud Files Mini Filter Driver cho phép đối tượng tấn công thực hiện leo thang đặc quyền, hiện đang bị khai thác trong thực tế.
Thứ tám, CVE-2023-36041 trong Microsoft Excel cho phép đối tượng tấn công thực thi mã từ xa.
Thứ chín, CVE-2023-36413 cho phép đối tượng tấn công vượt qua tính năng bảo mật của Microsoft Office. Thông tin chi tiết về lỗ hổng đã được công bố trong thực tế.
Thứ mười, CVE-2023-38177 trong Microsoft SharePoint Server cho phép đối tượng tấn công thực thi mã từ xa.
Đáng chú ý, cả CVE-2023-36033 và CVE-2023-36036 đều có thể bị kẻ tấn công khai thác để giành được các đặc quyền hệ thống, trong khi CVE-2023-36025 có thể giúp vượt qua các bước kiểm tra SmartScreen của Windows Defender và các lời nhắc liên quan của chúng.
Microsoft cho biết, người dùng sẽ phải nhấp vào một lối tắt Internet (.URL) được tạo đặc biệt hoặc một siêu liên kết trỏ đến tệp lối tắt Internet thì kẻ tấn công có thể khai thác. Tuy nhiên, nhà sản xuất Windows đã không cung cấp thêm bất kỳ hướng dẫn nào về các cơ chế tấn công được sử dụng và các tác nhân đe dọa có thể vũ khí hóa chúng. Việc khai thác tích cực các lỗ hổng leo thang đặc quyền cho thấy, chúng có thể được sử dụng cùng với lỗi thực thi mã từ xa.
Satnam Narang, kỹ sư nghiên cứu cấp cao của Tenable cho biết, đã có 12 lỗ hổng leo thang đặc quyền trong Thư viện lõi DWM trong hai năm qua, mặc dù đây là lần đầu tiên bị khai thác ngoài tự nhiên dưới dạng zero-day. Sự phát triển này đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) bổ sung thêm vấn đề vào danh mục Các lỗ hổng bị khai thác đã biết và kêu gọi các cơ quan liên bang áp dụng các bản sửa lỗi trước ngày 05/12.
Bản cập nhật tháng 11 còn bao gồm một bản vá cho CVE-2023-38545 (điểm CVSS 9,8). Đây là một lỗ hổng tràn bộ đệm dựa trên heap nghiêm trọng trong thư viện Curl được phát hiện vào tháng trước, cũng như lỗ hổng tiết lộ thông tin trong Azure CLI (CVE-2023-36052 có điểm CVSS 8,6).
Microsoft cho biết, kẻ tấn công khai thác thành công lỗ hổng này có thể khôi phục mật khẩu và tên người dùng dạng văn bản gốc từ các tệp nhật ký được tạo bởi các lệnh CLI bị ảnh hưởng và được xuất bản bởi Azure DevOps và/hoặc GitHub Actions.
Nhà nghiên cứu Aviad Hahami của Palo Alto Networks (Hoa Kỳ) - người đã báo cáo vấn đề này cho biết, lỗ hổng này có thể cho phép truy cập vào thông tin xác thực được lưu trữ trong nhật ký và cho phép kẻ tấn công có khả năng leo thang đặc quyền. Đáp lại, Microsoft phản hồi đã thực hiện các thay đổi đối với một số lệnh Azure CLI để tăng cường bảo mật cho Azure CLI (phiên bản 2.54) trước việc vô tình sử dụng có thể dẫn đến lộ bí mật.
Linux
Cũng trong tháng 11, Linux cũng đưa ra các công bố về lỗ hổng, có thể kể đến lỗ hổng CVE-2023-23583. Đây là lỗ hổng do trình tự hướng dẫn của bộ xử lý dẫn đến hành vi không mong muốn đối với một số Bộ xử lý Intel(R). Nếu khai thác thành công, lỗ hổng có thể cho phép người dùng được xác thực thực hiện leo thang đặc quyền, tiết lộ thông tin hoặc tấn công từ chối dịch vụ thông qua quyền truy cập cục bộ.
Một lỗ hổng khác là CVE-2023-5090, được tìm thấy trong KVM. Việc kiểm soát thiếu sót trong svm_set_x2apic_msr_interception() có thể cho phép truy cập trực tiếp vào máy chủ x2apic msrs khi khách đặt lại apic của máy chủ, có khả năng dẫn đến tình trạng từ chối dịch vụ.
Còn lỗ hổng CVE-2023-5482 tồn tại do việc xác thực dữ liệu không đủ trong USB trong Google Chrome trước 119.0.6045.105, cho phép kẻ tấn công từ xa thực hiện truy cập bộ nhớ vượt quyền thông qua trang HTML được tạo thủ công.
Linux đưa ra khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.
VMWare
Ở một động thái khác, VMWare đã công bố cập nhật bản vá tháng 11, trong đó có 01 lỗ hổng mức độ cao tồn tại trong VMware Tools.
Có định danh CVE-2023-34060, lỗ hổng này tồn tại trong việc xác thực truy cập trên các cổng 22 và 5480 chỉ ảnh hưởng trên VCD Appliance 10.5 được cập nhật lên từ 10.4.x. Lỗ hổng cho phép đối tượng tấn công có khả năng truy cập qua các cổng trên có thể vượt qua hạn chế xác thực truy cập.
Hồng Vân
(tổng hợp)
14:00 | 08/03/2022
16:00 | 18/12/2023
14:00 | 19/12/2023
09:00 | 03/10/2023
07:00 | 18/09/2023
10:00 | 24/12/2024
Nguồn tin của Wall Street Journal cho biết, chính quyền của Tổng thống đắc cử Donald Trump có thể ban hành lệnh cấm bán thiết bị TP-Link tại Mỹ ngay trong năm 2025.
14:00 | 06/12/2024
Khi mùa nghỉ lễ đến gần, người mua sắm trên toàn thế giới háo hức mong đợi các ưu đãi hấp dẫn trong những ngày đặc biệt như Black Friday, Cyber Monday, Giáng sinh và nhiều ngày lễ khác kéo dài trong những tháng cuối năm. Tuy nhiên, những hoạt động thương mại trực tuyến này đang thu hút sự chú ý của tội phạm mạng.
13:00 | 02/12/2024
Làn sóng đầu tư vào trí tuệ nhân tạo chưa có dấu hiệu hạ nhiệt. Mới đây nhất, tập đoàn Softbank đã tiếp tục rót vốn thêm 1,5 tỷ USD vào OpenAI - nhà phát triển ứng dụng ChatGPT.
10:00 | 28/11/2024
Sau thời gian thử nghiệm dành riêng cho người dùng trả phí, OpenAI chính thức cung cấp ChatGPT Search miễn phí cho tất cả người dùng.
TikTok tiếp tục khẳng định vị thế trên thị trường công nghệ với dự án đầu tư gần 3,8 tỷ USD cho trung tâm dữ liệu tại Thái Lan. Động thái này diễn ra trong bối cảnh hàng loạt "ông lớn" công nghệ toàn cầu cũng đang đổ xô vào xây dựng các dự án điện toán đám mây tại xứ sở chùa Vàng.
10:00 | 14/02/2025