Thứ Ba vừa qua, Microsoft đã phát hành bản cập nhật “Patch Tuesday” đầu tiên trong năm 2022 để khắc phục 96 lỗ hổng mới, ngoài ra còn có 24 lỗ hổng trong Microsoft Edge (Chromium-based) và 2 lỗ hổng khác trong các dự án nguồn mở đều đã được vá trước đó.
Trong số đó, 9 lỗ hổng được xếp ở mức nghiêm trọng và 89 lỗ hổng được xếp mức cao, với sáu lỗ hổng zero-day được công khai tại thời điểm phát hành.
Các sản phẩm bị ảnh hưởng bao gồm Microsoft Windows và Windows Components, Exchange Server, Microsoft Office và Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender, và Windows Remote Desktop Protocol (RDP).
Đáng chú ý là CVE-2022-21907 (điểm CVSS: 9,8), lỗ hổng cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực, ảnh hưởng đến thành phần HTTP Protocol Stack (http.sys) trên Windows.
Lỗ hổng do nhà nghiên cứu người Nga, Mikhail Medvedev phát hiện và báo cáo, được cho là có khả năng “wormable” - có thể kích hoạt và lây nhiễm mà không cần sự tương tác của người dùng.
Microsoft khuyên người dùng nên nhanh chóng cài đặt các bản vá, đặc biệt ưu tiên vá lỗ hổng nghiêm trọng có thể wormable và bị nhắm mục tiêu khai thác trong thực tế.
Microsoft cũng đã vá 6 lỗ hổng zero-days trong bản cập nhật lần này, hai trong số có sự tích hợp các bản vá lỗi của các bên thứ ba liên quan.
- CVE-2021-22947 (Điểm CVSS: N / A) - Lỗ hổng thực thi mã từ xa liên quan đến thư viện mã nguồn mở curl
- CVE-2021-36976 (Điểm CVSS: N / A) - Lỗ hổng thực thi mã từ xa liên quan đến thư viện mã nguồn mở libarchive
- CVE-2022-21836 (điểm CVSS: 7,8) - Lỗ hổng giả mạo chứng chỉ (certificate ) Windows
- CVE-2022-21839 (điểm CVSS: 6,1) - Lỗ hổng từ chối dịch vụ liên quan đến tính năng theo dõi kiểm soát truy cập trong Windows
- CVE-2022-21874 (Điểm CVSS: 7,8) - Lỗ hổng thực thi mã từ xa liên quan đến Security Center API của Windows
- CVE-2022-21919 (điểm CVSS: 7,0) - Lỗ hổng leo thang đặc quyền trong dịch vụ Windows User Profile
Một lỗ hổng nghiêm trọng khác là CVE-2022-21849 (điểm CVSS: 9,8), cho phép thực thi mã từ xa trong Windows Internet Key Exchange (IKE) phiên bản 2, có thể bị khai thác để "kích hoạt nhiều lỗ hổng không cần xác thực".
Ngoài ra, bản vá cũng khắc phục một số lỗ hổng thực thi mã từ xa ảnh hưởng đến Exchange Server, Microsoft Office (CVE-2022-21840), SharePoint Server, RDP và Windows Resilient File System cũng như các lỗ hổng leo thang đặc quyền trong dịch vụ Active Directory Domain, Windows Accounts Control, Windows Cleanup Manager, and Windows Kerberos.
Lỗ hổng CVE-2022-21907 và ba lỗ hổng được phát hiện trong Exchange Server (CVE-2022-21846, CVE-2022-21855, và CVE-2022-21969, điểm CVSS: 9.0) được cho là "có nhiều khả năng bị khai thác”, "cần cài đặt các bản vá ngay lập tức để chống lại các cuộc tấn công tiềm ẩn trong thực tế.
Bên cạnh các lỗ hổng này, không thể không kể đến Log4Shell, lỗ hổng nghiêm trọng đã và đang được nhắc đến trong suốt thời gian vừa qua, được cho là lỗ hổng tồi tệ nhất từng thấy trong nhiều thập kỷ.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Facebook thông báo ra mắt Privacy Center nhằm cung cấp thông tin hữu ích về năm chủ đề quyền riêng tư phổ biến: chia sẻ, bảo mật, thu thập dữ liệu, sử dụng dữ liệu và quảng cáo.
Tín nhiệm mạng | Những kẻ tấn công đã gửi các thiết bị USB độc hại với logo LilyGO thông qua dịch vụ bưu chính/bưu kiện tới các doanh nghiệp trong ngành vận tải, bảo hiểm và các công ty quốc phòng Mỹ.
Tín nhiệm mạng | Các nhà nghiên cứu cho biết đã phát hiện một lỗ hổng bảo mật mới, ảnh hưởng đến cơ sở dữ liệu H2, cho phép thực thi mã từ xa bằng cách lặp lại lỗ hổng Log4j "Log4Shell"
Tín nhiệm mạng | Cơ quan giám sát bảo vệ dữ liệu của Pháp đã phạt Facebook 150 triệu euro và Google 60 triệu euro vì vi phạm quy định về quyền riêng tư của châu Âu.
Tín nhiệm mạng | Các nhà nghiên cứu cho biết một kỹ thuật mới cho phép mã độc trên iOS có thể duy trì sự tồn tại trên một thiết bị bị nhiễm bằng cách giả mạo quá trình shutdown, khiến chúng ta không thể xác định được iPhone đang tắt hay không.
Tín nhiệm mạng | Tin tặc đã sử dụng một dịch vụ lưu trữ video cloud để chèn các đoạn mã độc cho phép lấy cắp thông tin được nhập vào các form trên trang web.