WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng thực thi mã từ xa trên Windows IKE đang bị khai thác
Lỗ hổng (CVE-2022-34721, điểm CVSS 9,8) nằm trong thành phần Tiện ích mở rộng giao thức Internet Key Exchange (IKE). Kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã tùy ý trên hệ thống bằng cách gửi gói IP được tạo đặc biệt tới nút Windows có bật IPSec.
Chỉ những hệ thống chạy IKE và AuthIP IPsec mới bị ảnh hưởng. Và lỗ hổng chỉ ảnh hưởng đến IKEv1, không ảnh hưởng IKEv2. Tuy nhiên, tất cả các Windows Server đều bị ảnh hưởng vì chúng chấp nhận cả gói V1 và V2.
Mã PoC cho lỗ hổng này đã được công khai trên GitHub vào tháng 9 vừa qua.
Theo công ty CYFIRMA, chiến dịch tấn công bắt đầu ngày 6 tháng 9 năm 2022 và nhắm mục tiêu vào hệ điều hành Windows, các server Windows, giao thức và dịch vụ Windows yếu/dễ bị tổn thương. Tên chiến dịch được viết bằng tiếng Trung, nên hacker đứng sau chiến dịch có thể là người Trung Quốc. Các nhà nghiên cứu cũng nhận thấy các hacker Trung Quốc có vẻ đang thiết lập quan hệ chiến lược với tội phạm mạng Nga, dựa trên việc thay đổi các kịch bản địa chính trị.
CYFIRMA ghi nhận gần 1.000 hệ thống bị ảnh hưởng bởi lỗ hổng. Chiến dịch nhắm mục tiêu đến các tổ chức trong ngành bán lẻ, tập đoàn công nghiệp, chính phủ, dịch vụ tài chính, dịch vụ CNTT và thương mại điện tử ở Hoa Kỳ, Vương quốc Anh, Úc, Canada, Pháp, Đức, Thổ Nhĩ Kỳ, Nhật Bản, Ấn Độ, Các Tiểu vương quốc Ả Rập Thống nhất và Israel.
Microsoft đã phát hành một bản vá cho lỗ hổng này trong Patch Tuesday tháng 9. Người dùng nên vá lỗ hổng theo khuyến cáo của Microsoft càng sớm càng tốt.
Chỉ những hệ thống chạy IKE và AuthIP IPsec mới bị ảnh hưởng. Và lỗ hổng chỉ ảnh hưởng đến IKEv1, không ảnh hưởng IKEv2. Tuy nhiên, tất cả các Windows Server đều bị ảnh hưởng vì chúng chấp nhận cả gói V1 và V2.
Mã PoC cho lỗ hổng này đã được công khai trên GitHub vào tháng 9 vừa qua.
Theo công ty CYFIRMA, chiến dịch tấn công bắt đầu ngày 6 tháng 9 năm 2022 và nhắm mục tiêu vào hệ điều hành Windows, các server Windows, giao thức và dịch vụ Windows yếu/dễ bị tổn thương. Tên chiến dịch được viết bằng tiếng Trung, nên hacker đứng sau chiến dịch có thể là người Trung Quốc. Các nhà nghiên cứu cũng nhận thấy các hacker Trung Quốc có vẻ đang thiết lập quan hệ chiến lược với tội phạm mạng Nga, dựa trên việc thay đổi các kịch bản địa chính trị.
CYFIRMA ghi nhận gần 1.000 hệ thống bị ảnh hưởng bởi lỗ hổng. Chiến dịch nhắm mục tiêu đến các tổ chức trong ngành bán lẻ, tập đoàn công nghiệp, chính phủ, dịch vụ tài chính, dịch vụ CNTT và thương mại điện tử ở Hoa Kỳ, Vương quốc Anh, Úc, Canada, Pháp, Đức, Thổ Nhĩ Kỳ, Nhật Bản, Ấn Độ, Các Tiểu vương quốc Ả Rập Thống nhất và Israel.
Microsoft đã phát hành một bản vá cho lỗ hổng này trong Patch Tuesday tháng 9. Người dùng nên vá lỗ hổng theo khuyến cáo của Microsoft càng sớm càng tốt.
Theo Security Online
Chỉnh sửa lần cuối: