Một ngày sau khi phát hành bản cập nhật Patch Tuesday, Microsoft đã xác nhận rằng một lỗ hổng nghiêm trọng mới được tiết lộ trong Exchange Server hiện đang bị khai thác trong thực tế.
Có định danh CVE-2024-21410 (điểm CVSS: 9,8), lỗ hổng cho phép kẻ tấn công thực hiện tấn công leo thang đặc quyền, ảnh hưởng đến Exchange Server.
Trong một tư vấn bảo mật được công bố vào tuần này, Microsoft cho biết: “Kẻ tấn công có thể nhắm mục tiêu các ứng dụng khách NTLM, như Outlook, bị rò rỉ thông tin xác thực NTLM”.
“Các thông tin đăng nhập bị rò rỉ có thể được chuyển tiếp tới máy chủ Exchange để giành được các đặc quyền của ứng dụng khách và mạo danh nạn nhân để thực hiện các hoạt động trên máy chủ Exchange.”
Trong bản tin bảo mật liên quan, Microsoft đã cập nhật thông tin khả năng khai thác lỗ hổng thành "Đã phát hiện hành vi khai thác", lưu ý rằng hiện tại họ đã bật Bảo vệ xác thực mở rộng (EPA) theo mặc định với bản cập nhật Cập nhật tích lũy Exchange Server 2019 14 (CU14).
Thông tin chi tiết về bản chất của việc khai thác và các tác nhân đe dọa có thể lạm dụng lỗ hổng này hiện chưa được xác định.
CVE-2024-21410 là lỗ hổng thứ ba được xác định là đã bị khai thác trong thực tế trong danh sách các lỗ hổng được Microsoft giải quyết trong bản cập nhật lần này, hai lỗ hổng được xác định trước đó là CVE-2024-21351 (điểm CVSS: 7,6) và CVE-2024-21412 (điểm CVSS: 8,1).
Việc khai thác CVE-2024-21412, một lỗ hổng cho phép vượt qua các tính năng bảo mật Windows SmartScreen, được cho là liên quan đến một tác nhân đe dọa nâng cao có tên Water Hydra (còn gọi là DarkCasino), nhóm này trước đây đã lạm dụng các zero-day trong WinRAR để triển khai trojan DarkMe.
Trend Micro cho biết: “Nhóm này sử dụng các tệp internet shortcut được ngụy trang dưới dạng hình ảnh JPEG mà khi được người dùng nhấp vào sẽ kích hoạt khai thác CVE-2024-21412”. “Sau đó, họ có thể vượt qua biện pháp bảo vệ Microsoft Defender SmartScreen và xâm phạm hoàn toàn máy chủ Windows.”
CVE-2024-21413, một lỗ hổng nghiêm trọng khác ảnh hưởng đến phần mềm email Outlook có thể dẫn đến việc thực thi mã từ xa bằng cách phá vỡ các biện pháp bảo mật như Protected View.
Vấn đề này còn được Check Point đặt tên là MonikerLink, có thể “gây ra tác động rộng rãi và nghiêm trọng, từ việc làm rò rỉ thông tin xác thực NTLM cục bộ đến thực thi mã tùy ý”.
Người dùng nên nhanh chóng kiểm tra và cập nhật bản vá cho các ứng dụng, hệ thống đang sử dụng ngay để giảm thiểu các nguy cơ tiềm ẩn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Microsoft đã phát hành bản vá bảo mật hằng tháng Patch Tuesday của tháng 2 năm 2024 để giải quyết 73 lỗ hổng, trong đó có 2 zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Trong khoảng thời gian vừa qua, tại một số hội nhóm trên mạng xã hội Facebook, diễn đàn trực tuyến, nổi lên các bài viết của một số người dùng, liên quan đến vấn đề lừa đảo trực tuyến. Điểm chung của những bài viết này đều kể rằng họ là nạn nhân bị lừa đảo, họ bị dẫn dụ cài các ứng dụng mã độc, dẫn đến mất tiền trong tài khoản ngân hàng.
Tín nhiệm mạng | Ba lỗ hổng bảo mật mới đã được phát hiện trong các dịch vụ Apache Hadoop, Kafka, và Spark của Azure HDInsight có thể bị khai thác để leo thang đặc quyền và tấn công từ chối dịch vụ ReDoS.
Tín nhiệm mạng | Những kẻ đứng đằng sau trojan ngân hàng Mispadu là những đối tượng mới nhất đang khai thác lỗ hổng bảo mật Windows SmartScreen để nhắm mục tiêu người dùng ở Mexico.
Tín nhiệm mạng | Thứ Sáu vừa qua, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk tiết lộ rằng họ đã gặp phải một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của mình.
Tín nhiệm mạng | CISA đã bổ sung một lỗ hổng có độ nghiêm trọng mức cao, ảnh hưởng đến iOS, iPadOS, macOS, tvOS và watchOS vào danh mục Lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác đang diễn ra.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
