Microsoft sửa 90 lỗi mới, bao gồm lỗi NTLM và Task Scheduler đang bị khai thác

Tác giả Starlink, T.M.Một 16, 2024, 11:46:14 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Hôm thứ Ba, Microsoft tiết lộ rằng hai lỗ hổng bảo mật ảnh hưởng đến Windows NT LAN Manager (NTLM) và Task Scheduler đã bị khai thác một cách tích cực trên thực tế.

Các lỗ hổng bảo mật nằm trong số 90 lỗi bảo mật mà gã khổng lồ công nghệ đã giải quyết như một phần của bản cập nhật Patch Tuesday cho tháng 11 năm 2024. Trong số 90 lỗ hổng, bốn lỗ hổng được đánh giá là Nghiêm trọng, 85 lỗ hổng được đánh giá là Quan trọng và một lỗ hổng được đánh giá là Trung bình về mức độ nghiêm trọng. Năm mươi hai lỗ hổng được vá là lỗ hổng thực thi mã từ xa.


Các bản sửa lỗi này bổ sung cho 31 lỗ hổng mà Microsoft đã giải quyết trong trình duyệt Edge dựa trên Chromium kể từ khi phát hành bản cập nhật Patch Tuesday tháng 10 năm 2024. Hai lỗ hổng được liệt kê là đang bị khai thác tích cực như sau -

  • CVE-2024-43451 (Điểm CVSS: 6.5) - Lỗ hổng giả mạo tiết lộ băm NTLM của Windows
  • CVE-2024-49039 (Điểm CVSS: 8,8) - Lỗ hổng nâng cao đặc quyền của Windows Task Scheduler

"Lỗ hổng này tiết lộ mã băm NTLMv2 của người dùng cho kẻ tấn công, kẻ này có thể sử dụng mã này để xác thực người dùng", Microsoft cho biết trong khuyến cáo về CVE-2024-43451 và ghi nhận công lao của nhà nghiên cứu Israel Yeshurun của ClearSky trong việc phát hiện và báo cáo lỗ hổng.

Điều đáng chú ý là CVE-2024-43451 là lỗ hổng thứ ba sau CVE-2024-21410 (được vá vào tháng 2) và CVE-2024-38021 (được vá vào tháng 7) có thể được sử dụng để tiết lộ mã băm NTLMv2 của người dùng và đã bị khai thác trong thực tế chỉ trong năm nay.

Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, cho biết trong một tuyên bố: "Những kẻ tấn công vẫn tiếp tục kiên quyết phát hiện và khai thác các lỗ hổng zero-day có thể tiết lộ hàm băm NTLMv2 vì chúng có thể được sử dụng để xác thực vào các hệ thống và có khả năng di chuyển ngang trong mạng để truy cập vào các hệ thống khác".

Mặt khác, CVE-2024-49039 có thể cho phép kẻ tấn công thực hiện các chức năng RPC vốn bị hạn chế đối với các tài khoản có đặc quyền. Tuy nhiên, Microsoft lưu ý rằng việc khai thác thành công đòi hỏi kẻ tấn công đã xác thực phải chạy một ứng dụng được thiết kế đặc biệt trên hệ thống mục tiêu để trước tiên nâng cao đặc quyền của chúng lên Mức toàn vẹn trung bình.

Vlad Stolyarov và Bahare Sabouri của Nhóm phân tích mối đe dọa (TAG) của Google và một nhà nghiên cứu ẩn danh đã được ghi nhận vì đã báo cáo lỗ hổng bảo mật. Điều này làm dấy lên khả năng rằng việc khai thác lỗ hổng zero-day có liên quan đến một số nhóm liên kết với nhà nước hoặc một tác nhân đe dọa dai dẳng nâng cao (APT).

Hiện tại vẫn chưa có thông tin chi tiết về cách những lỗ hổng này bị khai thác trong thực tế hoặc mức độ lan rộng của các cuộc tấn công này, nhưng sự phát triển này đã thúc đẩy Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) thêm chúng vào danh mục Các lỗ hổng đã khai thác được biết đến (KEV).

Một trong những lỗ hổng zero-day được công bố công khai nhưng chưa được khai thác là CVE-2024-49019 (điểm CVSS: 7.8), một lỗ hổng leo thang đặc quyền trong Active Directory Certificate Services có thể được tận dụng để có được đặc quyền quản trị tên miền. Chi tiết về lỗ hổng, được gọi là EKUwu, đã được TrustedSec ghi lại vào tháng trước.

Một lỗ hổng bảo mật đáng chú ý khác là CVE-2024-43498 (điểm CVSS: 9,8), một lỗi thực thi mã từ xa nghiêm trọng trong .NET và Visual Studio mà kẻ tấn công từ xa không xác thực có thể khai thác bằng cách gửi các yêu cầu được tạo đặc biệt đến ứng dụng web .NET dễ bị tấn công hoặc bằng cách tải một tệp được tạo đặc biệt vào ứng dụng máy tính để bàn dễ bị tấn công.

Bản cập nhật cũng khắc phục lỗ hổng giao thức mã hóa quan trọng ảnh hưởng đến Windows Kerberos ( CVE-2024-43639, điểm CVSS: 9,8) có thể bị kẻ tấn công chưa xác thực lợi dụng để thực thi mã từ xa.

Lỗ hổng được đánh giá cao nhất trong bản phát hành tháng này là lỗ hổng thực thi mã từ xa trong Azure CycleCloud ( CVE-2024-43602, điểm CVSS: 9,9), cho phép kẻ tấn công có quyền người dùng cơ bản có được các đặc quyền cấp root.

"Việc khai thác dễ dàng chỉ đơn giản là gửi yêu cầu đến cụm AzureCloud CycleCloud dễ bị tấn công để sửa đổi cấu hình của cụm đó", Narang cho biết. "Khi các tổ chức tiếp tục chuyển sang sử dụng tài nguyên đám mây, bề mặt tấn công sẽ mở rộng theo kết quả".

Cuối cùng, một CVE không phải do Microsoft phát hành được Redmond giải quyết là một lỗ hổng thực thi mã từ xa trong OpenSSL ( CVE-2024-5535, điểm CVSS: 9.1). Lỗ hổng này ban đầu được những người bảo trì OpenSSL vá vào tháng 6 năm 2024.

Microsoft cho biết: "Để khai thác lỗ hổng này, kẻ tấn công phải gửi liên kết độc hại tới nạn nhân qua email hoặc thuyết phục người dùng nhấp vào liên kết, thường là thông qua hình thức dụ dỗ trong email hoặc tin nhắn Instant Messenger".

"Trong trường hợp tấn công email tệ nhất, kẻ tấn công có thể gửi một email được thiết kế đặc biệt tới người dùng mà không yêu cầu nạn nhân mở, đọc hoặc nhấp vào liên kết. Điều này có thể dẫn đến việc kẻ tấn công thực thi mã từ xa trên máy của nạn nhân."

Cùng với bản cập nhật bảo mật tháng 11, Microsoft cũng thông báo sẽ áp dụng Common Security Advisory Framework (CSAF), một tiêu chuẩn OASIS để tiết lộ các lỗ hổng dưới dạng máy có thể đọc được, cho tất cả các CVE nhằm đẩy nhanh nỗ lực ứng phó và khắc phục.

"Các tệp CSAF được thiết kế để máy tính sử dụng nhiều hơn là con người, vì vậy chúng tôi đang thêm các tệp CSAF như một phần bổ sung vào các kênh dữ liệu CVE hiện có của mình thay vì thay thế", công ty cho biết. "Đây là khởi đầu cho hành trình tiếp tục tăng cường tính minh bạch xung quanh chuỗi cung ứng của chúng tôi và các lỗ hổng mà chúng tôi giải quyết và khắc phục trong toàn bộ chuỗi cung ứng của mình, bao gồm cả Phần mềm nguồn mở được nhúng trong các sản phẩm của chúng tôi".

Bản vá phần mềm từ các nhà cung cấp khác. Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm —

  • Adobe
  • Amazon Web Services
  • AMD
  • Apple
  • ASUS
  • Atlassian
  • Bosch
  • Broadcom (VMware)
  • Cisco
  • Citrix
  • CODESYS
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortinet
  • Fortra
  • GitLab
  • Google Android and Pixel
  • Google Chrome
  • Google Cloud
  • Google Wear OS
  • Hikvision
  • Hitachi Energy
  • HMS Networks
  • HP
  • HP Enterprise (Aruba Networking)
  • IBM
  • Intel
  • Ivanti
  • Juniper Networks
  • Lenovo
  • Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
  • MediaTek
  • Mitel
  • Mitsubishi Electric
  • Mozilla Firefox, Firefox ESR, and Thunderbird
  • NETGEAR
  • NVIDIA
  • Okta
  • Palo Alto Networks
  • Progress Software
  • QNAP
  • Qualcomm
  • Rockwell Automation
  • Samsung
  • SAP
  • Schneider Electric
  • Siemens
  • SolarWinds
  • Splunk
  • Spring Framework
  • Synology
  • TP-Link
  • Trend Micro
  • Veeam
  • Veritas
  • Zimbra
  • Zoom
  • Zyxel