WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Microsoft phát hành bản cập nhật tháng 3 vá 89 lỗi, 1 lỗi 0-day
Trong bản cập nhật định kỳ tháng này, Microsoft đã vá 89 lỗi bảo mật bao gồm: các bản sửa lỗi cho zero-day bị khai thác trong Internet Explorer, cho phép kẻ tấn công chạy code trên các máy mục tiêu.
Trong đó, 14 lỗi được liệt kê ở mức độ nghiêm trọng và 75 lỗi được liệt kê ở mức cao, hai lỗi đã được công khai, 5 lỗi khác đã được báo cáo là đang bị tấn công tại thời điểm phát hành bản vá.
5 lỗ hổng có tên ProxyLogon (CVE-2021-26855, 2021-26857, CVE-2021-26858 và CVE-2021-27065) cho phép hacker đột nhập vào Máy chủ Microsoft Exchange mục tiêu, sau đó cho phép cài đặt các backdoor trái phép dựa trên nền tảng web, để tạo điều kiện truy cập.
Trong khi các máy chủ Exchange bị tấn công vào cuối tháng 2 bởi nhiều nhóm hacker, Microsoft đã thực hiện phát hành các bản sửa lỗi sớm hơn một tuần so với kế hoạch.
Việc tăng cường khai thác hàng loạt sau khi Microsoft phát hành bản cập nhật vào ngày 2/3 đã khiến Microsoft phải triển khai một loạt bản cập nhật bảo mật khác nhắm vào các bản cập nhật cũ hơn, không được hỗ trợ và dễ bị tấn công vào lỗ hổng ProxyLogon.
Bản cập nhật này cũng gồm: một bản vá dành cho lỗ hổng zero-day trong Internet Explorer (CVE-2021-26411), lỗ hổng được phát hiện khi Hacker Triều Tiên khai thác nhắm đến các nhà nghiên cứu bảo mật để đánh cắp các nghiên cứu không được tiết lộ.
Công ty an ninh mạng Hàn Quốc ENKI, công khai tiết lộ những lỗ hổng đầu tháng trước, tuyên bố rằng hacker Bắc Triều Tiên đã thực hiện nhắm đến mục tiêu nghiên cứu bảo mật của công ty, hành vi của các hacker là sử dụng tập tin độc hại MHTML, khi mở tập tin sẽ tải xuống hai payload từ một máy chủ từ xa, trong đó chứa một lỗ hổng zero-day liên quan đến Internet Explorer.
Ngoài các lỗ hổng được khai thác tích cực này, bản cập nhật cũng sửa một số lỗi thực thi mã từ xa (RCE) trong Windows DNS Server (CVE-2021-26897, điểm CVSS 9,8), máy chủ Hyper-V (CVE-2021-26867, điểm CVSS 9,9), SharePoint Server (CVE-2021-27076, điểm CVSS 8,8) và Azure Sphere (CVE-2021-27080, điểm CVSS 9,3).
Trong số này, lỗ hổng CVE-2021-26897 được chú ý đến nhiều nhất. Lý do là, lỗ hổng này được Microsoft đánh giá là "có nhiều khả năng bị khai thác" và được phân loại là lỗ hổng không yêu cầu người dùng tương tác, mà vẫn có thể khai thác được.
Hơn nữa, đây cũng là lần thứ hai liên tiếp Microsoft giải quyết một lỗ hổng RCE nghiêm trọng trong Windows DNS Server. Tháng trước, công ty đã tung ra bản sửa lỗi cho CVE-2021-24078 trong cùng một thành phần, nếu chưa được vá, có thể cho phép hacker thực thi mã tùy ý và có khả năng chuyển hướng lưu lượng truy cập đến các máy chủ độc hại.
Để cài đặt các bản cập nhật bảo mật mới nhất, người dùng Windows có thể sử dụng 2 cách: Start > Settings > Update & Security > Windows Update hoặc bằng cách chọn Windows updates.
Trong đó, 14 lỗi được liệt kê ở mức độ nghiêm trọng và 75 lỗi được liệt kê ở mức cao, hai lỗi đã được công khai, 5 lỗi khác đã được báo cáo là đang bị tấn công tại thời điểm phát hành bản vá.
Trong khi các máy chủ Exchange bị tấn công vào cuối tháng 2 bởi nhiều nhóm hacker, Microsoft đã thực hiện phát hành các bản sửa lỗi sớm hơn một tuần so với kế hoạch.
Việc tăng cường khai thác hàng loạt sau khi Microsoft phát hành bản cập nhật vào ngày 2/3 đã khiến Microsoft phải triển khai một loạt bản cập nhật bảo mật khác nhắm vào các bản cập nhật cũ hơn, không được hỗ trợ và dễ bị tấn công vào lỗ hổng ProxyLogon.
Bản cập nhật này cũng gồm: một bản vá dành cho lỗ hổng zero-day trong Internet Explorer (CVE-2021-26411), lỗ hổng được phát hiện khi Hacker Triều Tiên khai thác nhắm đến các nhà nghiên cứu bảo mật để đánh cắp các nghiên cứu không được tiết lộ.
Công ty an ninh mạng Hàn Quốc ENKI, công khai tiết lộ những lỗ hổng đầu tháng trước, tuyên bố rằng hacker Bắc Triều Tiên đã thực hiện nhắm đến mục tiêu nghiên cứu bảo mật của công ty, hành vi của các hacker là sử dụng tập tin độc hại MHTML, khi mở tập tin sẽ tải xuống hai payload từ một máy chủ từ xa, trong đó chứa một lỗ hổng zero-day liên quan đến Internet Explorer.
Ngoài các lỗ hổng được khai thác tích cực này, bản cập nhật cũng sửa một số lỗi thực thi mã từ xa (RCE) trong Windows DNS Server (CVE-2021-26897, điểm CVSS 9,8), máy chủ Hyper-V (CVE-2021-26867, điểm CVSS 9,9), SharePoint Server (CVE-2021-27076, điểm CVSS 8,8) và Azure Sphere (CVE-2021-27080, điểm CVSS 9,3).
Trong số này, lỗ hổng CVE-2021-26897 được chú ý đến nhiều nhất. Lý do là, lỗ hổng này được Microsoft đánh giá là "có nhiều khả năng bị khai thác" và được phân loại là lỗ hổng không yêu cầu người dùng tương tác, mà vẫn có thể khai thác được.
Hơn nữa, đây cũng là lần thứ hai liên tiếp Microsoft giải quyết một lỗ hổng RCE nghiêm trọng trong Windows DNS Server. Tháng trước, công ty đã tung ra bản sửa lỗi cho CVE-2021-24078 trong cùng một thành phần, nếu chưa được vá, có thể cho phép hacker thực thi mã tùy ý và có khả năng chuyển hướng lưu lượng truy cập đến các máy chủ độc hại.
Để cài đặt các bản cập nhật bảo mật mới nhất, người dùng Windows có thể sử dụng 2 cách: Start > Settings > Update & Security > Windows Update hoặc bằng cách chọn Windows updates.
Nguồn: The Hacker News