Hôm nay, Microsoft vừa phát hành bản cập nhật bảo mật tháng 11 để vá 55 lỗ hổng, bao gồm sáu lỗ hổng zero-day, hai trong số đó đã và đang bị khai thác trong thực tế.
Đáng được quan tâm là CVE-2021-42298, một lỗ hổng nghiêm trọng trong Microsoft Defender cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống dễ bị tấn công.
Danny Kim, kiến trúc sư của Virsec, cho biết: “Windows Defender chạy trên tất cả các phiên bản Windows được hỗ trợ, do đó, lỗ hổng này làm tăng đáng kể nguy cơ các tổ chức bị tấn công”.
"Khai thác lỗ hổng này yêu cầu một số tương tác của người dùng nhưng kẻ tấn công có thể sử dụng email lừa đảo hoặc social engineering để dễ dàng đạt được tương tác".
Một lỗi nghiêm trọng khác là CVE-2021-26443, lỗ hổng thực thi mã từ xa trong Microsoft Virtual Machine Bus (VMBus), một thành phần giao tiếp của công nghệ ảo hóa Hyper-V của công ty. Lỗ hổng cho phép kẻ tấn công vượt qua lớp bảo vệ tích hợp của máy ảo và thực thi mã độc trên hệ thống máy chủ vật lý.
Hai lỗ hổng zero-day đã bị khai thác hiện có trong Microsoft Exchange Server (CVE-2021-42321) và Microsoft Excel (CVE-2021-42292).
Lỗ hổng trong Exchange Server do vấn đề trong xác thực cmdlet - một lệnh thường được sử dụng trong môi trường PowerShell. Lỗ hổng có thể được khai thác qua mạng, yêu cầu đặc quyền thấp và không cần sự tương tác của người dùng.
CVE-2021-42292, lỗ hổng cho phép vượt qua kiểm tra bảo mật và thực thi mã độc khi mở tệp độc hại.
Bốn lỗ hổng zero-day khác bao gồm hai lỗ hổng CVE-2021-38631 và CVE-2021-41371 liên quan đến Giao thức truy cập máy tính từ xa (RDP) và hai lỗ hổng thực thi mã từ xa (CVE-2021-43208 và CVE-2021-43209) trong ứng dụng 3D Viewer Remote của Microsoft.
55 lỗ hổng bảo mật mà Microsoft đã phát hành bản vá ảnh hưởng đến một loạt các sản phẩm của công ty, bao gồm Microsoft Office, Windows, Azure, Power BI và Visual Studio.
Để giảm thiểu nguy cơ bị tấn công, người dùng nên kiểm tra và cập nhật phiên bản mới nhất của các sản phẩm sớm nhất có thể.
Nguồn: darkreading.com.
Tín nhiệm mạng | Một tin tặc đã đánh cắp tài sản tiền điện tử trị giá khoảng 55 triệu đô la từ bZx, một nền tảng tài chính phi tập trung cho phép người dùng vay, cho vay và theo dõi biến động của tiền điện tử.
Tín nhiệm mạng | ZDI của Trend Micro đã thưởng 1.081.250 đô la cho 61 lỗ hổng zero-day đã được khai thác tại Pwn2Own Austin 2021, với các khai thác thành công trên Samsung Galaxy S21 và máy in HP LaserJet vào ngày thứ ba của cuộc thi.
Tín nhiệm mạng | Google đã phát hành bản cập nhật bảo mật tháng Mười một cho Android để vá 39 lỗ hổng, bao gồm một lỗ hổng zero-day được cho là đã bị khai thác trong thực tế.
Tín nhiệm mạng | Chính phủ Mỹ đã công bố phần thưởng 10 triệu đô la cho thông tin giúp xác định danh tính hoặc vị trí của các thành viên chủ chốt trong nhóm ransomware DarkSide.
Tín nhiệm mạng | Trong ngày đầu tiên của cuộc thi Pwn2Own Austin 2021, các thí sinh đã giành được 362.500 đô la sau khi khai thác các lỗ hổng bảo mật chưa được tiết lộ trước đó trên các thiết bị ...
Tín nhiệm mạng | Một dạng lừa đảo mới trên Steam được quảng bá thông qua tin nhắn Discord với nội dung hứa hẹn đăng ký Nitro miễn phí nếu người dùng liên kết tài khoản Steam của họ. Nếu người dùng làm theo, tin tặc sẽ lấy được tài khoản...