-
09/04/2020
-
93
-
600 bài viết
Microsoft giải quyết lỗ hổng Follina trong Patch Tuesday mới phát hành
Trong bản cập nhật Patch Tuesday lần này, Microsoft đã giải quyết lỗ hổng zero-day đã làm mưa làm gió những ngày gần đây của Windows - lỗ hổng Follina.
Cũng được vá trong bản cập nhật này là 55 lỗi khác, 3 trong số đó được xếp hạng nghiêm trọng, 51 lỗi được xếp hạng quan trọng và 1 lỗi được xếp hạng trung bình. Ngoài ra, 5 lỗi khác trong trình duyệt Microsoft Edge cũng đã được giải quyết.
Lỗ hổng Follina với mã định danh CVE-2022-30190 (điểm CVSS: 7,8) là một lỗ hổng zero-day thực thi mã từ xa ảnh hưởng đến Công cụ chẩn đoán hỗ trợ Windows (MSDT) khi nó được gọi bằng cách sử dụng lược đồ giao thức URI "ms-msdt:" từ một ứng dụng, chẳng hạn như Word.
Lỗ hổng có thể bị khai thác bằng cách sử dụng một tài liệu Word được chế tạo đặc biệt để tải xuống một tệp HTML độc hại thông qua tính năng template từ xa của Word. Tệp HTML cuối cùng cho phép kẻ tấn công tải và thực thi mã PowerShell trong Windows.
"Khai thác thành công lỗ hổng, hacker có thể chạy mã tùy ý với các đặc quyền của ứng dụng gọi", Microsoft cho biết. "Hacker sau đó có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới trong ngữ cảnh được quyền của người dùng cho phép”.
Điểm đặc biệt của Follina là việc khai thác lỗ hổng không yêu cầu sử dụng macro, do đó hacker không cần phải lừa nạn nhân kích hoạt macro để kích hoạt cuộc tấn công.
Kể từ khi chi tiết của lỗ hổng xuất hiện vào cuối tháng trước, Follina đã bị giới tin tặc khai thác rộng rãi, thả hàng loạt các payload như AsyncRAT, QBot và những payload đánh cắp thông tin khác. Bằng chứng chỉ ra rằng Follina đã bị hacker sử dụng trong thực tế ít nhất là từ ngày 12 tháng 4 năm 2022.
Bên cạnh CVE-2022-30190, bản cập nhật cũng giải quyết một số lỗi thực thi mã từ xa trong Hệ thống tệp mạng Windows (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Windows Lightweight Directory Access Protocol, Microsoft Office, Tiện ích mở rộng Video HEVC và Azure RTOS GUIX Studio.
Lỗ hổng an ninh khác cần lưu ý là CVE-2022-30147 (điểm CVSS: 7.8) - lỗ hổng leo thang đặc quyền ảnh hưởng đến Windows Installer và được đánh dấu “dễ bị khai thác” của Microsoft.
Kev Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết: “Một khi kẻ tấn công đã có được quyền truy cập ban đầu, chúng có thể nâng cao cấp độ truy cập ban đầu đó lên mức của quản trị viên và có thể vô hiệu hóa các công cụ đảm bảo an ninh”. "Trong trường hợp tấn công bằng ransomware, điều này cho phép leo thang quyền truy cập vào dữ liệu nhạy cảm trước khi mã hóa các tệp."
Bản vá mới nhất không có bất kỳ cập nhật nào cho thành phần Print Spooler kể từ tháng 1 năm 2022. Microsoft cũng cho biết họ chính thức ngừng hỗ trợ cho Internet Explorer 11 bắt đầu từ ngày 15 tháng 6 năm 2022 trên Windows 10 Semi-Annual Channel và Windows 10 IoT Semi-Annual Channel.
Cũng được vá trong bản cập nhật này là 55 lỗi khác, 3 trong số đó được xếp hạng nghiêm trọng, 51 lỗi được xếp hạng quan trọng và 1 lỗi được xếp hạng trung bình. Ngoài ra, 5 lỗi khác trong trình duyệt Microsoft Edge cũng đã được giải quyết.
Lỗ hổng Follina với mã định danh CVE-2022-30190 (điểm CVSS: 7,8) là một lỗ hổng zero-day thực thi mã từ xa ảnh hưởng đến Công cụ chẩn đoán hỗ trợ Windows (MSDT) khi nó được gọi bằng cách sử dụng lược đồ giao thức URI "ms-msdt:" từ một ứng dụng, chẳng hạn như Word.
Lỗ hổng có thể bị khai thác bằng cách sử dụng một tài liệu Word được chế tạo đặc biệt để tải xuống một tệp HTML độc hại thông qua tính năng template từ xa của Word. Tệp HTML cuối cùng cho phép kẻ tấn công tải và thực thi mã PowerShell trong Windows.
"Khai thác thành công lỗ hổng, hacker có thể chạy mã tùy ý với các đặc quyền của ứng dụng gọi", Microsoft cho biết. "Hacker sau đó có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới trong ngữ cảnh được quyền của người dùng cho phép”.
Điểm đặc biệt của Follina là việc khai thác lỗ hổng không yêu cầu sử dụng macro, do đó hacker không cần phải lừa nạn nhân kích hoạt macro để kích hoạt cuộc tấn công.
Kể từ khi chi tiết của lỗ hổng xuất hiện vào cuối tháng trước, Follina đã bị giới tin tặc khai thác rộng rãi, thả hàng loạt các payload như AsyncRAT, QBot và những payload đánh cắp thông tin khác. Bằng chứng chỉ ra rằng Follina đã bị hacker sử dụng trong thực tế ít nhất là từ ngày 12 tháng 4 năm 2022.
Bên cạnh CVE-2022-30190, bản cập nhật cũng giải quyết một số lỗi thực thi mã từ xa trong Hệ thống tệp mạng Windows (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Windows Lightweight Directory Access Protocol, Microsoft Office, Tiện ích mở rộng Video HEVC và Azure RTOS GUIX Studio.
Lỗ hổng an ninh khác cần lưu ý là CVE-2022-30147 (điểm CVSS: 7.8) - lỗ hổng leo thang đặc quyền ảnh hưởng đến Windows Installer và được đánh dấu “dễ bị khai thác” của Microsoft.
Kev Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết: “Một khi kẻ tấn công đã có được quyền truy cập ban đầu, chúng có thể nâng cao cấp độ truy cập ban đầu đó lên mức của quản trị viên và có thể vô hiệu hóa các công cụ đảm bảo an ninh”. "Trong trường hợp tấn công bằng ransomware, điều này cho phép leo thang quyền truy cập vào dữ liệu nhạy cảm trước khi mã hóa các tệp."
Bản vá mới nhất không có bất kỳ cập nhật nào cho thành phần Print Spooler kể từ tháng 1 năm 2022. Microsoft cũng cho biết họ chính thức ngừng hỗ trợ cho Internet Explorer 11 bắt đầu từ ngày 15 tháng 6 năm 2022 trên Windows 10 Semi-Annual Channel và Windows 10 IoT Semi-Annual Channel.
Theo Thehackernews