Microsoft đã phát hành bản cập nhật bảo mật hàng tháng Patch Tuesday tháng 7 năm 2023 cho 132 lỗ hổng, bao gồm 6 lỗ hổng đã bị khai thác trong các cuộc tấn công và 37 lỗ hổng thực thi mã từ xa.
Trong số 37 lỗ hổng RCE đã được vá, Microsoft chỉ xác định 9 lỗ hổng là 'Nghiêm trọng'. Tuy nhiên, một trong những lỗ hổng RCE vẫn chưa được vá và đang bị khai thác trong thực tế.
Dánh sách các lỗ hổng bao gồm:
- 33 lỗ hổng leo thang đặc quyền
- 13 lỗ hổng bỏ qua tính năng bảo mật
- 37 lỗ hổng thực thi mã từ xa
- 19 lỗ hổng gây lộ thông tin
- 22 lỗ hổng từ chối dịch vụ (DoS)
- 7 lỗ hổng giả mạo (spoofing)
Microsoft vẫn chưa phát hành bản cập nhật cho bất kỳ lỗ hổng Microsoft Edge nào trong tháng 7 này.
Sáu lỗ hổng đang bị khai thác
Các bản cập nhật lần này đã giải quyết sáu lỗ hổng zero-day, tất cả đều đã bị khai thác trong các cuộc tấn công và một trong số đó đã được tiết lộ công khai, bao gồm:
(1) CVE-2023-32046 - Lỗ hổng leo thang đặc quyền trong nền tảng Windows MSHTML
(2) CVE-2023-32049 - Lỗ hổng bỏ qua tính năng bảo mật Windows SmartScreen, bị khai thác để ngăn việc hiển thị thông báo mở tệp - cảnh báo bảo mật khi tải xuống và mở tệp từ Internet.
(3) CVE-2023-36874 - Lỗ hổng leo thang đặc quyền trong dịch vụ Windows Error Reporting, cho phép tác nhân đe dọa, đã có quyền truy cập cục bộ vào máy mục tiêu, có thể giành được quyền của quản trị viên trên thiết bị Windows. Lỗ hổng được phát hiện bởi Vlad Stolyarov và Maddie Stone thuộc Nhóm phân tích mối đe dọa của Google (TAG)
(4) CVE-2023-36884 - Lỗ hổng thực thi mã từ xa, hiện chưa được vá và đã được tiết lộ công khai, ảnh hưởng đến các sản phẩm Windows HTML và Office. Lỗ hổng này đã bị nhóm tin tặc RomCom khai thác.
Microsoft cho biết rằng: "Kẻ tấn công có thể tạo một tài liệu Microsoft Office độc hại cho phép chúng thực thi mã từ xa trong ngữ cảnh của nạn nhân. Tuy nhiên, kẻ tấn công cần phải lừa nạn nhân mở tệp độc hại để kích hoạt tấn công."
"Sau khi hoàn thành cuộc điều tra này, Microsoft sẽ thực hiện hành động thích hợp để giúp bảo vệ khách hàng của chúng tôi. Điều này có thể bao gồm việc cung cấp bản cập nhật bảo mật thông qua quy trình phát hành hàng tháng hoặc cung cấp bản cập nhật riêng, tùy thuộc vào nhu cầu của khách hàng."
Mặc dù chưa có bản vá, nhưng Microsoft cho biết người dùng Microsoft Defender dành cho Office và những người sử dụng tùy chọn "Chặn tất cả các ứng dụng Office tạo tiến trình con" sẽ được bảo vệ khỏi các tệp độc hại dùng để khai thác lỗ hổng này.
Ngoài ra, công ty cũng cung cấp một biện pháp thay thế khác để ngăn việc khai thác lỗ hổng được kích hoạt bằng cách thêm các tên ứng dụng Excel.exe, Graph.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe, Wordpad.exe vào khóa registry
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION như các giá trị của loại (type) REG_DWORD với dữ liệu (data) bằng 1.
(5) Lỗ hổng trong chính sách của Windows đã bị lạm dụng trong các cuộc tấn công để cài đặt driver độc hại trong kernel của thiết bị Windows. Microsoft đã thu hồi những chứng chỉ đã được ký (code-signing certificates) và các tài khoản nhà phát triển đã lạm dụng lỗ hổng này.
(6) CVE-2023-35311 - Lỗ hổng cho phép bỏ qua cảnh báo bảo mật của Microsoft Outlook.
Để xem thông tin mô tả đầy đủ cho từng lỗ hổng và những hệ thống bị ảnh hưởng, bạn có thể xem báo cáo tại đây.
Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành các bản cập nhật bảo mật trong tháng này để giải quyết các lỗ hổng ảnh hưởng đến sản phẩm của họ, bao gồm AMD, Apple, Cisco, Google, MOVEit, SAP, VMware,…
Người dùng nên kiểm tra và nhanh chóng cập nhật bản vá bảo mật cho các sản phẩm đang sử dụng hoặc tuân theo khuyến nghị bảo mật do nhà cung cấp phát hành để giảm thiểu các nguy cơ bị tấn công.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | VMware đang cảnh báo khách hàng rằng mã khai thác cho một lỗ hổng nghiêm trọng trong VMware Aria Operations for Logs, công cụ phân tích giúp quản trị viên quản lý log của cơ sở hạ tầng và ứng dụng trong môi trường quy mô lớn, hiện đã có sẵn.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật khẩn cấp (RSR) để giải quyết một lỗi zero-day mới (CVE-2023-37450) đang bị khai thác trong các cuộc tấn công và ảnh hưởng đến iPhone, Mac và iPad đã được cập nhật đầy đủ bản vá.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phân tích một chủng ransomware mới xuất hiện gần đây có tên là 'Big Head'. Chủng này có thể được lây lan thông qua các quảng cáo độc hại để phát tán các bản cập nhật Windows và chương trình cài đặt Microsoft Word giả mạo.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra hai ứng dụng quản lý tệp độc hại trên Google Play với tổng số lượt cài đặt đến hơn 1,5 triệu lượt đã thu thập nhiều dữ liệu [của người dùng] không cần thiết cho các chức năng như đã mô tả.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một công cụ đánh cắp thông tin dựa trên Windows mới có tên ‘Meduza Stealer’ vẫn đang được phát triển để nâng cao khả năng che dấu, tránh bị phát hiện, trước các giải pháp phần mềm.
Tín nhiệm mạng | Một tin tặc có nguồn gốc từ Mexico đã được liên kết với một chiến dịch phần mềm độc hại dành cho thiết bị di động Android nhắm mục tiêu vào các tổ chức tài chính trên toàn cầu