Các bản vá Patch Tuesday đầu tiên do Microsoft phát hành trong năm 2023 đã giải quyết tổng cộng 98 lỗ hổng bảo mật, trong đó có một lỗ hổng đang bị khai thác trong thực tế.
98 lỗ hổng gồm có 11 lỗ hổng mức nghiêm trọng và 87 lỗ hổng mức cao, một trong số này đã được tiết lộ công khai tại thời điểm phát hành. Microsoft dự kiến cũng sẽ phát hành các bản cập nhật cho trình duyệt Edge dựa trên Chromium của mình.
Lỗ hổng đang bị khai thác là CVE-2023-21674 (điểm CVSS: 8, 8), một lỗ hổng leo thang đặc quyền trong Windows Advanced Local Procedure Call (ALPC) có thể bị tin tặc khai thác để giành quyền SYSTEM.
Các nhà nghiên cứu Jan Vojtěšek, Milánek và Przemek Gmerek của Avast được ghi nhận là đã báo cáo lỗ hổng này.
Lỗ hổng này có khả năng được kết hợp cùng một lỗ hổng hiện có trong trình duyệt web để thoát (escape) sandbox trình duyệt và giành được các đặc quyền cao hơn. Thông tin chi tiết về lỗ hổng hiện vẫn chưa được tiết lộ.
Nhà nghiên cứu Satnam Narang của Tenable cho biết “khả năng để một chuỗi khai thác như thế này được sử dụng rộng rãi là rất hạn chế do tính năng tự động cập nhật các bản vá của trình duyệt”.
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng của Mỹ (CISA) đã thêm lỗ hổng này vào danh mục các lỗ hổng bị khai thác đã biết (KEV), đồng thời thúc giục các cơ quan liên bang áp dụng các bản vá trước ngày 31 tháng 1 năm 2023.
CVE-2023-21674 là lỗ hổng thứ tư như vậy được xác định trong ALPC của Windows, sau CVE-2022-41045, CVE-2022-41093, và CVE-2022-41100 (điểm CVSS: 7, 8), ba lỗ hổng này đã được vá vào tháng 11 năm 2022.
Đáng chú ý, hai lỗ hổng leo thang đặc quyền khác ảnh hưởng đến Microsoft Exchange Server (CVE-2023-21763 và CVE-2023-21764, điểm CVSS: 7, 8), bắt nguồn từ một bản vá chưa hoàn chỉnh cho CVE-2022-41123 [theo Qualys].
Saeed Abbasi, giám đốc nghiên cứu về lỗ hổng và mối đe dọa tại Qualys, cho biết rằng "kẻ tấn công có thể thực thi mã với các đặc quyền SYSTEM bằng cách khai thác đường dẫn tệp được hard-coded".
Microsoft cũng đã giải quyết một lỗ hổng bỏ qua tính năng bảo mật trong SharePoint Server (CVE-2023-21743, điểm CVSS: 5, 3) có thể cho phép kẻ tấn công chưa được xác thực vượt qua kiểm tra xác thực và tạo kết nối ẩn danh.
Bản cập nhật tháng 1 còn khắc phục thêm một số lỗ hổng leo thang đặc quyền khác, bao gồm một lỗ hổng trong Windows Credential Manager (CVE-2023-21726, điểm CVSS: 7, 8) và ba lỗ hổng trong thành phần Print Spooler (CVE-2023-21678, CVE-2023-21760, và CVE-2023-21765).
Cơ quan An ninh Quốc gia của Mỹ (NSA) được ghi nhận là đã báo cáo CVE-2023-21678. Microsoft đã khắc phục tổng cộng 39 lỗ hổng leo thang đặc quyền trong bản cập nhật mới nhất này.
Làm tròn danh sách là CVE-2023-21549 (điểm CVSS: 8, 8), một lỗ hổng leo thang đặc quyền đã được biết đến công khai trong Dịch vụ Windows SMB Witness và một trường hợp bỏ qua tính năng bảo mật khác ảnh hưởng đến BitLocker (CVE-2023-21563, CVSS score: 6.8).
Microsoft cho biết: “Khai thác thành công có thể cho phép kẻ tấn công bỏ qua tính năng mã hóa thiết bị BitLocker trên thiết bị lưu trữ hệ thống (system storage). "Kẻ tấn công có quyền truy cập vật lý vào mục tiêu có thể khai thác lỗ hổng này để giành quyền truy cập vào dữ liệu được mã hóa".
Ngoài ra, Redmond đã sửa đổi hướng dẫn của họ về việc lợi dụng signed drivers (được gọi là Bring Your Own Vulnerable Driver) để đưa vào danh sách chặn cập nhật được phát hành như một phần của bản cập nhật bảo mật Windows vào ngày 10/01/2023.
Hôm thứ Ba, CISA cũng đã thêm CVE-2022-41080, một lỗ hổng leo thang đặc quyền trong Exchange Server, vào danh mục KEV sau các báo cáo về việc lỗ hổng này đang được kết hợp cùng CVE-2022-41082 để đạt được thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Việc khai thác đã bị nhóm ransomware Play lạm dụng để xâm phạm môi trường mục tiêu. Các lỗ hổng đã được Microsoft khắc phục vào tháng 11 năm 2022.
Các bản cập nhật Patch Tuesday cũng đến cùng khi Windows 7, Windows 8.1 và Windows RT kết thúc hỗ trợ vào ngày 10 tháng 1 năm 2023. Microsoft cho biết sẽ không cung cấp chương trình Cập nhật bảo mật mở rộng (ESU) cho Windows 8.1, khuyến khích người dùng nâng cấp lên Windows 11.
Công ty cảnh báo rằng “việc tiếp tục sử dụng các phiên bản không được hỗ trợ sau ngày 10 tháng 1 năm 2023 có thể làm tăng khả năng gặp rủi ro bảo mật của tổ chức hoặc ảnh hưởng đến khả năng đáp ứng các tuân thủ của tổ chức”.
Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành các bản cập nhật bảo mật kể từ đầu tháng để khắc phục các lỗ hổng, bao gồm Adobe, AMD, Android, Cisco, Citrix, Dell, F5, Fortinet, GitLab, Google Chrome, HP, IBM, Intel, Juniper Networks, Lenovo, Debian, Oracle Linux, Red Hat, SUSE, Ubuntu, MediaTek, Qualcomm, SAP, Schneider ElectricSiemens, Synology, Zoom, và Zyxel.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Các nhà nghiên cứu AquaSec đã nhận thấy khả năng tải các tiện ích mở rộng Visual Studio Code độc hại lên VSCode Marketplace và phát hiện ra dấu hiệu của các tác nhân đe dọa đã khai thác vấn đề này.
Tín nhiệm mạng | Synology đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến Máy chủ VPN Plus có thể bị khai thác để chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | Một vụ rò rỉ dữ liệu được mô tả là có chứa địa chỉ email của hơn 200 triệu người dùng Twitter đã được công bố trên một diễn đàn tội phạm mạng.
Tín nhiệm mạng | Qualcomm phát hành các bản vá bảo mật để giải quyết nhiều lỗ hổng trong chipset của họ. Các lỗ hổng cũng ảnh hưởng đến máy tính Lenovo ThinkPad X13s, khiến nhà sản xuất Lenovo phải phát hành các bản cập nhật BIOS để vá các lỗ hổng.
Tín nhiệm mạng | Các trang web WordPress đang bị nhắm mục tiêu bởi một họ phần mềm độc hại Linux mới. Mã độc này khai thác các lỗ hổng trong khoảng ba mươi plugin và theme để xâm phạm các hệ thống dễ bị tấn công.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
