Lỗ hổng zero-day nghiêm trọng trong Windows, Office cho biết đã đến lúc phải vá

Tác giả sysadmin, T.M.Một 18, 2023, 02:23:36 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Lỗ hổng zero-day nghiêm trọng trong Windows, Office cho biết đã đến lúc phải vá


Bản phát hành Patch Tuesday của Microsoft vào tháng 11 cung cấp 63 bản cập nhật, với ba lỗi zero-day ảnh hưởng đến Windows và Office. Điều đó làm cho việc vá nhanh chóng là điều bắt buộc. Chúng ta hiện đang ở thập kỷ thứ ba phát hành Bản vá thứ Ba hàng tháng của Microsoft, cung cấp ít bản cập nhật quan trọng hơn cho trình duyệt và nền tảng Windows — và có nhiều bản cập nhật đáng tin cậy hơn cho Microsoft Office — so với những ngày đầu vá lỗi. Nhưng trong tháng này, công ty đã tung ra 63 bản cập nhật (bao gồm các bản sửa lỗi cho ba lỗi 0 ngày trong Windows và Office).


Các bản cập nhật cho Microsoft Exchange và Visual Studio có thể được đưa vào chu kỳ phát hành bản vá tiêu chuẩn, trong khi Adobe cần được đưa vào bản phát hành "Bản vá ngay" cho các ứng dụng của bên thứ ba.

Nhóm tại Readiness đã cung cấp  đồ họa thông tin chi tiết nêu rõ những rủi ro liên quan đến từng bản cập nhật trong tháng 11.

1. Các vấn đề đã biết

Microsoft công bố danh sách các sự cố đã biết liên quan đến hệ điều hành và các nền tảng được đưa vào mỗi bản cập nhật. Tháng này, danh sách đó bao gồm:

  • File Explorer sẽ gặp sự cố sau khi gỡ cài đặt KB5031354  trên nền tảng Win11 22H2. Vẫn hoạt động.
  • Việc sử dụng cài đặt chính sách FixedDrivesEncryptionType hoặc SystemDrivesEncryptionType trong nút nhà cung cấp dịch vụ cấu hình BitLocker ( CSP ) trong ứng dụng quản lý thiết bị di động (MDM) có thể hiển thị không chính xác lỗi 65000. Hiện tại, Microsoft vẫn đang nghiên cứu giải pháp.
  • Trong Skype dành cho doanh nghiệp 2019 và 2015, lệnh ghép ngắn Debug-CsIntraPoolReplication không thành công nếu bạn sử dụng tham số ConnectionUri trong phiên PowerShell từ xa được tạo bằng cách sử dụng điểm cuối OcsPowerShell.

Nếu may mắn nhận được quyền truy cập vào Windows AI Copilot của Microsoft trong tháng này, bạn có thể gặp sự cố hiển thị khi các biểu tượng trên màn hình của bạn bất ngờ di chuyển từ màn hình này sang màn hình khác — rồi quay lại màn hình ban đầu. Đừng lo, trong máy không có ghost đâu. Ồ, chờ đã....

2. Sửa đổi lớn

Tại thời điểm này, Microsoft đã xuất bản ba bản sửa đổi lớn cần được chú ý cho chu kỳ này, bao gồm:

  • CVE-2023-36008 : Lỗ hổng thực thi mã từ xa của Microsoft Edge (dựa trên Chrome)
  • CVE-2023-36026 : Lỗ hổng giả mạo Microsoft Edge (dựa trên Chrome)
  • CVE-2023-6112 : Crom: CVE-2023-6112 Sử dụng sau khi rảnh trong Điều hướng

Tất cả những sửa đổi này chỉ nhằm mục đích cung cấp thông tin và không yêu cầu hành động bổ sung.

3. Giảm thiểu và giải pháp thay thế

Microsoft đã công bố các biện pháp giảm nhẹ liên quan đến lỗ hổng bảo mật sau đây cho bản phát hành Bản vá thứ Ba này:

  • CVE-2023-38151 : Lỗ hổng thực thi mã từ xa trên máy chủ tích hợp máy chủ Microsoft 2020. Microsoft đã khuyến cáo rằng hệ thống mục tiêu phải cài đặt Microsoft OLE DB Provider cho Máy chủ DB2 Phiên bản 7.0 thì mới có thể bị tấn công.
  • CVE-2023-36397 : Lỗ hổng thực thi mã từ xa Windows Pragmatic General Multicast (PGM). Dịch vụ xếp hàng tin nhắn Windows, một thành phần của Windows, phải được kích hoạt để hệ thống có thể bị lỗ hổng này khai thác. Tính năng này có thể được xác minh thông qua Windows Control Panel.
  • CVE-2023-36028 : Lỗ hổng thực thi mã từ xa Giao thức xác thực mở rộng được bảo vệ của Microsoft (PEAP). PEAP) chỉ được đàm phán với máy khách nếu NPS đang chạy trên Windows Server và có chính sách mạng được định cấu hình cho phép PEAP. Nếu bạn không chạy dịch vụ này, hệ thống của bạn sẽ không gặp phải vấn đề này.

4. Hướng dẫn kiểm tra

Mỗi tháng, nhóm tại Readiness cung cấp hướng dẫn kiểm tra chi tiết, hữu ích dựa trên việc đánh giá danh mục ứng dụng lớn và phân tích chi tiết về các bản vá của Microsoft cũng như tác động tiềm tàng của chúng đối với nền tảng Windows và cài đặt ứng dụng.

Microsoft đã thực hiện một bản cập nhật lớn cho một tính năng quản lý hệ thống tệp nhỏ trong tháng này, với những thay đổi về cách Storage Sense cập nhật và xóa các tệp cũ và tạm thời. Có một video giải thích tuyệt vời và như Microsoft giải thích:  "(Storage Sense) sẽ chạy khi thiết bị của bạn sắp hết dung lượng ổ đĩa và sẽ dọn sạch các tệp tạm thời không cần thiết. Nội dung từ Thùng rác sẽ bị xóa theo mặc định sau một thời gian, nhưng các mục trong thư mục Tải xuống của bạn và OneDrive (hoặc bất kỳ nhà cung cấp đám mây nào khác) sẽ không được chạm vào trừ khi bạn thiết lập Storage Sense để làm như vậy.

Quá trình thử nghiệm của chúng tôi gây ra một số lo ngại khi hệ thống tệp Windows đã được cập nhật, vì vậy chúng tôi đã đưa vào một số bước bổ sung để xác thực các thay đổi của tháng này:

  • Chạy Storage Sense (đây có thể là lần đầu tiên bạn thực hiện).
  • Xóa tất cả các tệp tạm thời trong đường dẫn sau c:\users, %SYSTEM_PATHS% bao gồm các thư mục lồng nhau.
  • Xác nhận rằng chỉ các tệp cũ (cũ hơn ngày được đặt trong cài đặt Storage Sense của bạn) mới bị xóa.
  • Xác nhận rằng tệp Memory.dmp (cũ hơn ngưỡng đã đặt của bạn) sẽ xóa chính xác.

Những thay đổi sau đây trong bản cập nhật tháng này không được coi là có rủi ro cao (đối với các kết quả không mong muốn) và không bao gồm các thay đổi về chức năng:

  • Dịch vụ Microsoft DHCP đã được cập nhật. Kiểm tra hoạt động chuyển đổi dự phòng trên nhiều máy chủ của bạn bằng cách gửi thông báo "chuyển đổi dự phòng" đến một máy chủ đang chạy khác.
  • Cập nhật VPN: kết nối với VPN doanh nghiệp của bạn nhiều lần, bị ngắt kết nối giữa phiên. Bao gồm duyệt internet cơ bản, tải lên/tải xuống tệp lớn và truyền phát video.
  • Quá trình tạo VHD của bạn sẽ cần kiểm tra nhanh - gắn/ngắt kết nối tệp VHD bằng kiểm tra CRUD (Tạo/Đọc/Cập nhật/Xóa).
  • BitLocker đã được cập nhật. Bật BitLocker và khởi động lại. Xác nhận rằng trình tự khởi động lại không bị ảnh hưởng bởi bản cập nhật này.

Cũng đã có một bản cập nhật lớn về cách Windows  xử lý việc nén tập tin. Sau các sự cố bảo mật WinRAR tháng trước, Microsoft hiện hỗ trợ các định dạng lưu trữ bao gồm tar,.7zip,. rar,.tar.gz. Sự sẵn sàng thực sự khuyên bạn nên xóa (gỡ cài đặt đầy đủ, đã được xác thực) WinRAR và các tiện ích nén khác của bên thứ ba.

Thử nghiệm tự động sẽ trợ giúp trong các tình huống này (đặc biệt là nền tảng thử nghiệm cung cấp "delta" hoặc so sánh giữa các bản dựng). Tuy nhiên, đối với dòng ứng dụng kinh doanh của bạn, việc yêu cầu chủ sở hữu ứng dụng (thực hiện UAT ) kiểm tra và phê duyệt kết quả kiểm tra vẫn vô cùng cần thiết.

5. Cập nhật vòng đời Windows

Phần này chứa những thay đổi quan trọng về cung cấp dịch vụ (và hầu hết các bản cập nhật bảo mật) cho nền tảng máy tính để bàn và máy chủ Windows.

  • ESU Năm 1 dành cho Windows Server 2012 và Windows Server 2012 R2 bắt đầu vào ngày 11 tháng 10 năm 2023. Lưu ý : Tất cả các gói Chỉ bảo mật và Gói tổng hợp hàng tháng hiện đều có trong ESU và yêu cầu giấy phép ESU.
  • Từ giờ trở đi, các gói Chỉ bảo mật sẽ không còn được xuất bản cho Windows Server 2012 và Windows Server 2012 R2 nữa. Điều này nhằm đơn giản hóa việc xuất bản các gói ESU, phù hợp với mô hình dịch vụ tích lũy và tránh các vấn đề phân mảnh.

Bạn có thể đọc thêm về những thay đổi gần đây tại trang Cập nhật vòng đời.

Mỗi tháng, chúng tôi chia chu kỳ cập nhật thành các dòng sản phẩm (theo định nghĩa của Microsoft) với các nhóm cơ bản sau:

  • Trình duyệt (Microsoft IE và Edge).
  • Microsoft Windows (cả máy tính để bàn và máy chủ).
  • Microsoft Office.
  • Máy chủ trao đổi Microsoft.
  • Nền tảng phát triển của Microsoft (ASP.NET Core,.NET Core và Chakra Core).
  • Adobe (đã nghỉ hưu???, có thể là vào năm tới).

6. Trình duyệt

Microsoft đã áp dụng lịch phát hành Chrome và không còn xuất bản cụ thể các bản cập nhật trên Patch Tuesday nữa. Điều đó cho thấy, 14 bản cập nhật cho trình duyệt Edge của dự án Chrome đã được phát hành trong tháng này (không có bản cập nhật nào quan trọng và không có ngày 0 đối với Microsoft hoặc Chrome). Để biết thêm thông tin về các bản cập nhật bảo mật của Microsoft Edge, hãy tham khảo  trang hỗ trợ được cập nhật hàng tuần của Microsoft. Thêm những cập nhật này vào lịch phát hành bản vá tiêu chuẩn của bạn.

7. Windows

Microsoft đã phát hành hai bản cập nhật quan trọng và 30 bản vá được đánh giá là quan trọng đối với nền tảng Windows bao gồm các thành phần chính sau:

  • Windows Hyper-V.
  • Chia sẻ kết nối Internet Windows (ICS).
  • Trình điều khiển Bluetooth của Microsoft.
  • Tập lệnh Windows.
  • Hạt nhân Windows.
  • Thư mục nén Windows (xem ghi chú của chúng tôi về nén tệp để biết ngữ cảnh).

Mối quan tâm thực sự trong tháng này là hai lỗ hổng được báo cáo (và khai thác) công khai:

  • CVE-2023-36033 : Thư viện lõi Windows DWM nâng cao lỗ hổng đặc quyền. Đây thực sự là một ngày số 0 cần được chú ý ngay lập tức. Theo lời của nhóm bảo mật Microsoft, "Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được các đặc quyền HỆ THỐNG. "
  • CVE-2023-36036 : Trình điều khiển bộ lọc mini của tệp Windows Cloud nâng cao lỗ hổng đặc quyền. Điều này không tệ như 36033, nhưng một cuộc tấn công thành công (trong đó có nhiều báo cáo) sẽ dẫn đến quyền truy cập hoàn toàn vào hệ thống trên hệ thống bị xâm nhập. Vì vậy, vâng. Không tốt.

Đây là  video phát hành Windows 11 của tháng này. Nếu không, hãy thêm bản cập nhật này vào lịch phát hành "Patch Now" của bạn.

8. Microsoft Office

Microsoft đã xuất bản năm bản cập nhật cấu hình thấp được đánh giá là quan trọng. Điều đó cho thấy, CVE-2023-36413 (một lỗ hổng bảo mật được báo cáo công khai) là một sự cố bảo mật đặc biệt nguy hiểm, chỉ ảnh hưởng đến các phiên bản gần đây của Microsoft Office (Office 365 và Office 2019/2021) và cần được chú ý ngay lập tức. Nếu bạn đang sử dụng các phiên bản Office cũ hơn, hãy thêm các bản cập nhật này vào lịch phát hành tiêu chuẩn của bạn. Nếu bạn đã cập nhật, hãy thêm các bản cập nhật Office này vào dòng thời gian "Patch Now" của bạn.  Và, vâng - chúng tôi nghĩ rằng điều này cũng nên ngược lại.

9. Máy chủ Microsoft Exchange

Microsoft đã phát hành bốn bản cập nhật cho Exchange Server hiện đang được coi là đáng kính (chúng tôi muốn nói là "dễ bị tổn thương") trong tháng này. Mặc dù các bản cập nhật này có thể gây khó khăn cho quản trị viên Exchange (không có hướng dẫn đặc biệt nhưng sẽ phải khởi động lại), nhưng đây là các bản sửa lỗi đã được xác nhận đầy đủ đối với các vấn đề khó khai thác, không thể "sâu". Tất cả bốn vấn đề ( CVE-2023-36439, CVE-2023-36050, CVE-2023-36039 và CVE-2023-36035 ) đều yêu cầu quyền truy cập đầy đủ của quản trị viên và cho đến nay vẫn chưa được báo cáo là bị khai thác hoặc báo cáo công khai. Thêm các bản cập nhật cấu hình thấp này vào lịch phát hành máy chủ tiêu chuẩn của bạn.

10. Nền tảng phát triển của Microsoft

Microsoft đã phát hành sáu bản cập nhật, tất cả đều được đánh giá là quan trọng, ảnh hưởng đến Visual Studio   Đăng nhập để xem liên kết. Tất cả các phiên bản hiện được hỗ trợ của cả hai nhóm sản phẩm đều bị ảnh hưởng. Những vấn đề này có thể dẫn đến các cuộc tấn công nâng cao đặc quyền và giả mạo. Không cần quản lý các kịch bản thực thi mã từ xa hoặc được xếp hạng quan trọng, hãy thêm các bản cập nhật dành cho nhà phát triển này vào lịch phát hành dành cho nhà phát triển tiêu chuẩn của bạn.

11. Adobe Reader (vẫn còn ở đây, nhưng không phải trong tháng này)

Chúng tôi bắt đầu nắm rõ lịch phát hành của Adobe với bản cập nhật cuối năm dự kiến trong tháng này cho các sản phẩm cốt lõi của họ — bao gồm Adobe Reader — với việc phát hành APSB23-02. Đây là bản cập nhật được Reader đánh giá cao và cần được chú ý ngay lập tức. Với những thay đổi gần đây đối với sự nhiệt tình của Microsoft đối với các công cụ của bên thứ ba, bạn phải tự hỏi Adobe Reader còn bao lâu nữa trước khi Microsoft quyết định thế là đủ.