Hôm qua, Microsoft đã phát hành bản vá bảo mật hằng tháng Patch Tuesday tháng 10 năm 2024 để giải quyết 118 lỗ hổng, bao gồm 05 zero-day, hai trong số đó đang bị khai thác trong thực tế.
Patch Tuesday tháng này đã khắc phục 03 lỗ hổng nghiêm trọng, tất cả đều là lỗi thực thi mã từ xa (RCE).
Các lỗ hổng zero-day
Hai lỗ hổng zero-day đang bị khai thác được giải quyết trong bản cập nhật này là:
- CVE-2024-43573 - Lỗ hổng giả mạo (Spoofing) trong nền tảng MSHTML của Windows
Microsoft không tiết lộ bất kỳ thông tin chi tiết nào hoặc cách khai thác lỗi này, nhưng họ cho biết rằng lỗi này liên quan đến nền tảng MSHTML, trước đây được Internet Explorer và Microsoft Edge cũ sử dụng, các thành phần của nền tảng này vẫn được cài đặt trong Windows.
Microsoft giải thích rằng: "Mặc dù Microsoft đã thông báo ngừng hỗ trợ ứng dụng Internet Explorer 11 trên một số nền tảng nhất định và ngừng hỗ trợ ứng dụng Microsoft Edge Legacy, nhưng MSHTML, EdgeHTML và các nền tảng tập lệnh (scripting) vẫn được hỗ trợ".
"Nền tảng MSHTML được sử dụng bởi chế độ Internet Explorer trong Microsoft Edge cũng như các ứng dụng khác thông qua điều khiển WebBrowser. Nền tảng EdgeHTML được sử dụng bởi WebView và một số ứng dụng UWP. Các nền tảng tập lệnh được sử dụng bởi MSHTML và EdgeHTML nhưng cũng có thể được sử dụng bởi các ứng dụng cũ khác."
Mặc dù chưa được xác nhận, nhưng đây có thể là cách vượt qua lỗ hổng trước đó đã lạm dụng MSHTML để giả mạo phần mở rộng tệp trong các cảnh báo hiển thị khi mở tệp. Một lỗ hổng giả mạo MSHTML tương tự đã được tiết lộ vào tháng trước khi các cuộc tấn công sử dụng ký tự chữ nổi Braille trong tên tệp để giả mạo tệp PDF.
- CVE-2024-43572 - Lỗ hổng RCE trong Microsoft Management Console
Lỗ hổng này cho phép các tệp Microsoft Saved Console (MSC) độc hại thực thi mã từ xa trên các thiết bị dễ bị tấn công.
Microsoft đã khắc phục vấn đề bằng cách ngăn không cho mở các tệp MSC không đáng tin cậy.
Hiện chưa biết lỗ hổng này đã bị khai thác như thế nào trong các cuộc tấn công.
Microsoft cho biết cả hai lỗ hổng này đều đã được tiết lộ công khai.
Ba lỗ hổng khác được tiết lộ công khai nhưng không bị khai thác trong thực tế là:
- CVE-2024-6197 - Lỗ hổng RCE trong công cụ mã nguồn mở Curl
Microsoft đã khắc phục lỗi RCE libcurl có thể khiến các lệnh được thực thi khi Curl cố gắng kết nối với máy chủ độc hại.
Microsoft đã khắc phục lỗi này bằng cách cập nhật thư viện libcurl được sử dụng bởi tệp thực thi Curl trong Windows.
Lỗ hổng này được phát hiện bởi một nhà nghiên cứu có tên "z2_", thông tin chi tiết về kỹ thuật liên quan đã được đã chia sẻ trong báo cáo HackerOne.
- CVE-2024-20659 - Lỗ hổng cho phép bỏ qua tính năng bảo mật Windows Hyper-V
Microsoft đã khắc phục lỗi lỗ hổng bỏ qua UEFI, có thể cho phép kẻ tấn công xâm nhập vào hypervisor và kernel.
Microsoft giải thích rằng: "Lỗ hổng Hypervisor này liên quan đến Máy ảo trong máy chủ UEFI".
Kẻ tấn công cần phải truy cập vật lý vào thiết bị và phải khởi động lại thiết bị để khai thác lỗ hổng.
Lỗi này được Francisco Falcón và Iván Arce của Quarkslab phát hiện nhưng chưa rõ nó được tiết lộ công khai ở đâu.
- CVE-2024-43583 - Lỗ hổng leo thang đặc quyền Winlogon
Lỗ hổng cho kẻ tấn công giành được quyền SYSTEM trong Windows.
Để được bảo vệ khỏi lỗ hổng này, Microsoft cho biết người quản trị phải thực hiện các hành động bổ sung.
"Để giải quyết lỗ hổng này, hãy đảm bảo rằng IME của Microsoft được bật trên thiết bị của bạn".
"Bằng cách đó, bạn có thể giúp bảo vệ thiết bị của mình khỏi các lỗ hổng tiềm ẩn liên quan đến IME của bên thứ ba trong quá trình đăng nhập."
Microsoft cho biết wh1tc và Zhiniang Peng của pwnull đã phát hiện ra lỗ hổng.
Bạn có thể xem mô tả đầy đủ về từng lỗ hổng và các hệ thống bị ảnh hưởng tại đây.
Người dùng nên kiểm tra và nhanh chóng cập nhật bản vá bảo mật cho các sản phẩm đang sử dụng hoặc tuân theo khuyến nghị bảo mật do nhà cung cấp phát hành để giảm thiểu các nguy cơ bị tấn công.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Bộ phát triển phần mềm Java (SDK) Apache Avro, nếu khai thác thành công, có thể cho phép thực thi mã tùy ý trên các phiên bản dễ bị tấn công.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ phần mềm độc hại botnet mới có tên là Gorilla (hay còn gọi là GorillaBot), một biến thể của mã nguồn botnet Mirai bị rò rỉ.
Tín nhiệm mạng | Apple đã phát hành bản cập nhật mới cho iOS và iPadOS để giải quyết hai vấn đề bảo mật, một trong số đó có thể cho phép công nghệ hỗ trợ VoiceOver đọc to mật khẩu của người dùng.
Tín nhiệm mạng | Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công "CosmicSting" với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đang cảnh báo về các hoạt động khai thác đang nhắm vào lỗ hổng bảo mật mới được tiết lộ trong Zimbra Collaboration của Synacor.
Tín nhiệm mạng | Một lỗ hổng nghiêm trọng trong NVIDIA Container Toolkit ảnh hưởng đến tất cả các ứng dụng AI trong môi trường đám mây để truy cập tài nguyên GPU.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
