Hôm qua, Microsoft đã phát hành bản cập nhật bảo mật hàng tháng, Patch Tuesday, của tháng 6 năm 2023, chứa bản vá cho 78 lỗ hổng, trong đó có 38 lỗ hổng thực thi mã từ xa.
Microsoft chỉ liệt kê sáu lỗi là 'Nghiêm trọng', bao gồm các lỗ hổng cho phép tấn công từ chối dịch vụ, thực thi mã từ xa và leo thang đặc quyền.
78 lỗ hổng bao gồm:
- 17 lỗ hổng cho phép leo thang đặc quyền
- 3 lỗ hổng cho phép bỏ qua tính năng bảo mật
- 32 lỗ hổng thực thi mã từ xa
- 5 lỗ hổng tiết lộ thông tin
- 10 lỗ hổng từ chối dịch vụ
- 10 lỗ hổng cho phép tấn công giả mạo (Spoofing)
- 1 lỗ hổng trong trình duyệt Edge
Danh sách này không bao gồm 16 lỗ hổng Microsoft Edge đã được khắc phục trước đó vào ngày 2 tháng 6 năm 2023.
Bản cập nhật lần này không khắc phục bất kỳ lỗ hổng zero-day hoặc các lỗi đã bị khai thác nào trong thực tế.
Các lỗ hổng đáng chú ý
Mặc dù không có lỗ hổng zero-day nào, nhưng có một số lỗ hổng đáng chú ý được liệt kê bên dưới:
CVE-2023-29357 - lỗ hổng leo thang đặc quyền trong Microsoft SharePoint Server, có thể cho phép kẻ tấn công chiếm quyền của người dùng khác, bao gồm cả quản trị viên.
Mặc dù Microsoft lưu ý rằng lỗ hổng này đang bị khai thác nhưng không có thông tin chi tiết về cách nó bị lạm dụng.
Nhà nghiên cứu bảo mật Jang (Nguyễn Tiến Giang) của StarLabs SG đã phát hiện ra lỗ hổng này.
CVE-2023-32031 - Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server
"Lỗ hổng này cho phép kẻ tấn công nhắm vào các tài khoản máy chủ thông qua việc thực thi mã từ xa hoặc tùy ý. Với tư cách là một người dùng đã xác thực, kẻ tấn công có thể kích hoạt mã độc trong ngữ cảnh của tài khoản máy chủ thông qua một cuộc gọi mạng (network call)", tư vấn bảo mật của Microsoft cho biết.
Microsoft cũng đã phát hành các bản cập nhật Microsoft Office cho các lỗ hổng cho phép tác nhân đe dọa sử dụng các tài liệu độc hại để thực thi mã từ xa, bao gồm CVE-2023-33133 (Excel), CVE-2023-33133 (Excel), CVE-2023-33137 (Excel), CVE-2023-33140 (OneNote), CVE-2023-33131 (Outlook).
Các lỗ hổng OneNote và Outlook yêu cầu người dùng nhấp vào liên kết trong tệp hoặc email độc hại.
Bạn có thể xem danh sách và thông tin mô tả đầy đủ của các lỗ hổng đã được giải quyết trong bản cập nhật Patch Tuesday này tại đây.
Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành bản cập nhật bảo mật cho các sản phẩm của họ trong tháng 6 này, bao gồm Cisco, Fortinet, Google, MOVEit, SAP, VMware,…
Người dùng nên thường xuyên kiểm tra và cập nhật bản vá từ nhà cung cấp cho các sản phẩm đang sử dụng ngay khi có thể để giảm thiểu các nguy cơ bị tấn công.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Các lỗ hổng bảo mật được phát hiện trong nền tảng thương mại điện tử của Honda có thể đã bị khai thác để giành được quyền truy cập không hạn chế vào thông tin nhạy cảm của các đại lý.
Tín nhiệm mạng | Một vụ lừa đảo tiền điện tử mới bị phát hiện gần đây đã lạm dụng hơn 1.000 trang web lừa đảo để lừa người dùng tham gia vào một chương trình phần thưởng giả mạo kể từ ít nhất là tháng 1 năm 2021.
Tín nhiệm mạng | Một nhóm hack được gọi là 'Pink Drainer' đang mạo danh các nhà báo trong các chiến dịch lừa đảo nhằm xâm phạm tài khoản Discord và Twitter để thực hiện các cuộc tấn công đánh cắp tiền điện tử.
Tín nhiệm mạng | Fortinet đã phát hành bản cập nhật firmware Fortigate mới để khắc phục một lỗ hổng thực thi mã từ xa nghiêm trọng, chưa được tiết lộ, trong các thiết bị SSL VPN.
Tín nhiệm mạng | HelloTeache, biến thể mới của phần mềm gián điệp Android, đang nhắm mục tiêu vào những người dùng ngân hàng phổ biến ở Việt Nam.
Tín nhiệm mạng | Outlook.com đã gặp phải một loạt sự cố ngừng hoạt động trong khi nhóm tin tặc Anonymous Sudan tuyên bố thực hiện các cuộc tấn công DDoS vào dịch vụ này
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
