WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft phát hành bản update khẩn cấp vá lỗ hổng zero-day trên IE và Defender
Microsoft vừa phát hành bản cập nhật an ninh khẩn cấp vá các lỗ hổng CVE-2019-1367 và CVE-2019-1255.
Bản cập nhật an ninh này khắc phục hai sự cố bảo mật quan trọng: một lỗ hổng zero-day trong trình đặc tả (scripting engine) của Internet Explorer, đã bị khai thác trên thực tế và một lỗi khác trên Microsoft Defender.
Đây là bản cập nhật khá đặc biệt bởi Microsoft thường chỉ phát hành bản cập nhật bảo mật vào ngày thứ ba của tuần thứ 2 hằng tháng. Hãng hiếm khi thay đổi và nếu thay đổi thường chỉ dành cho các vấn đề bảo mật rất quan trọng.
Trong trường hợp này, người dùng Windows nên cài đặt các bản cập nhật càng sớm càng tốt. Bản vá cho IE là bản cập nhật thủ công, trong khi lỗi Defender sẽ được tự động cập nhật.
Lỗ hổng zero-day trên IE
Trong hai lỗi, lỗ hổng zero-day trên Internet Explorer là lỗi quan trọng nhất, chủ yếu là bởi nó đã bị khai thác trong các cuộc tấn công trên thực tế.
Thông tin chi tiết về các cuộc tấn công vẫn chưa được tiết lộ và Microsoft hiếm khi công bố các chi tiết như vậy. Những gì chúng ta biết là các cuộc tấn công và lỗ hổng zero-day đã được Clément Lecigne, một thành viên của Nhóm phân tích mối đe dọa của Google thông báo tới Microsoft.
Một điều nữa đã rõ ràng là lỗ hổng zero-day trên IE là một lỗ hổng rất nghiêm trọng, một vấn đề thực thi mã từ xa (RCE).
Theo Microsoft, "lỗ hổng có thể gây lỗi bộ nhớ, khiến kẻ tấn công có thể thực thi mã tùy ý dưới vai trò của người dùng hiện tại".
"Kẻ tấn công khai thác thành công lỗ hổng có thể có được quyền như người dùng hiện tại. Nếu người dùng hiện tại đăng nhập bằng quyền quản trị, kẻ tấn công có thể thực hiện kiểm soát hệ thống, sau đó có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với toàn quyền người dùng".
Cuộc tấn công đòi hỏi phải dụ dỗ người dùng Internet Explorer truy cập một trang web độc hại, thông qua các email spam, spam IM, quảng cáo trên công cụ tìm kiếm, hay các chiến dịch quảng cáo độc hại và các chiến dịch khác.
Tin tốt là người dùng Internet Explorer đã giảm xuống chỉ còn 1,97% thị phần, theo StatCounter, có nghĩa là số lượng người dùng dễ bị tấn công là khá nhỏ.
Lỗ hổng trên IE được đặt tên CVE-2019-1367. Trong khuyến cáo, Microsoft liệt kê các cách giải quyết khác nhau để bảo vệ hệ thống nếu bản cập nhật hôm nay không thể được áp dụng ngay lập tức. Khuyến cáo cũng bao gồm các liên kết đến các gói cập nhật thủ công mà người dùng Windows sẽ cần tải xuống từ Danh mục cập nhật của Microsoft và chạy thủ công trên hệ thống. Bản vá cho IE zero-day sẽ không có sẵn qua Windows Update.
Lỗi DoS trên Defender
Vấn đề thứ hai là lỗ hổng từ chối dịch vụ (DoS) trong Microsoft Defender, trước đây gọi là Windows Defender, phần mềm chống virus đi kèm với Windows 8 và các phiên bản mới hơn, bao gồm cả bản phát hành Windows 10 phổ biến.
Theo Microsoft, "kẻ tấn công có thể khai thác lỗ hổng để ngăn chặn các tài khoản hợp pháp thực thi các hệ thống nhị phân hợp pháp".
Tin tốt là lỗi này không phải là một vấn đề lớn. Để khai thác lỗi này, trước tiên kẻ tấn công cần truy cập vào hệ thống của nạn nhân và phải có khả năng thực thi code.
Lỗi này cho phép hacker vô hiệu hóa các thành phần Microsoft Defender, nhưng nếu kẻ tấn công đã có "quyền thực thi" trên máy tính của nạn nhân, thì có nhiều cách khác để chạy mã độc mà không bị phát hiện.
Microsoft đã phát hành bản cập nhật v1.1.16400.2 cho Microsoft Malware Protection Engine, một thành phần của chương trình anti-vius cho Microsoft Defender, để khắc phục sự cố này.
Bản cập nhật an ninh này khắc phục hai sự cố bảo mật quan trọng: một lỗ hổng zero-day trong trình đặc tả (scripting engine) của Internet Explorer, đã bị khai thác trên thực tế và một lỗi khác trên Microsoft Defender.
Đây là bản cập nhật khá đặc biệt bởi Microsoft thường chỉ phát hành bản cập nhật bảo mật vào ngày thứ ba của tuần thứ 2 hằng tháng. Hãng hiếm khi thay đổi và nếu thay đổi thường chỉ dành cho các vấn đề bảo mật rất quan trọng.
Trong trường hợp này, người dùng Windows nên cài đặt các bản cập nhật càng sớm càng tốt. Bản vá cho IE là bản cập nhật thủ công, trong khi lỗi Defender sẽ được tự động cập nhật.
Lỗ hổng zero-day trên IE
Trong hai lỗi, lỗ hổng zero-day trên Internet Explorer là lỗi quan trọng nhất, chủ yếu là bởi nó đã bị khai thác trong các cuộc tấn công trên thực tế.
Thông tin chi tiết về các cuộc tấn công vẫn chưa được tiết lộ và Microsoft hiếm khi công bố các chi tiết như vậy. Những gì chúng ta biết là các cuộc tấn công và lỗ hổng zero-day đã được Clément Lecigne, một thành viên của Nhóm phân tích mối đe dọa của Google thông báo tới Microsoft.
Một điều nữa đã rõ ràng là lỗ hổng zero-day trên IE là một lỗ hổng rất nghiêm trọng, một vấn đề thực thi mã từ xa (RCE).
Theo Microsoft, "lỗ hổng có thể gây lỗi bộ nhớ, khiến kẻ tấn công có thể thực thi mã tùy ý dưới vai trò của người dùng hiện tại".
"Kẻ tấn công khai thác thành công lỗ hổng có thể có được quyền như người dùng hiện tại. Nếu người dùng hiện tại đăng nhập bằng quyền quản trị, kẻ tấn công có thể thực hiện kiểm soát hệ thống, sau đó có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới với toàn quyền người dùng".
Cuộc tấn công đòi hỏi phải dụ dỗ người dùng Internet Explorer truy cập một trang web độc hại, thông qua các email spam, spam IM, quảng cáo trên công cụ tìm kiếm, hay các chiến dịch quảng cáo độc hại và các chiến dịch khác.
Tin tốt là người dùng Internet Explorer đã giảm xuống chỉ còn 1,97% thị phần, theo StatCounter, có nghĩa là số lượng người dùng dễ bị tấn công là khá nhỏ.
Lỗ hổng trên IE được đặt tên CVE-2019-1367. Trong khuyến cáo, Microsoft liệt kê các cách giải quyết khác nhau để bảo vệ hệ thống nếu bản cập nhật hôm nay không thể được áp dụng ngay lập tức. Khuyến cáo cũng bao gồm các liên kết đến các gói cập nhật thủ công mà người dùng Windows sẽ cần tải xuống từ Danh mục cập nhật của Microsoft và chạy thủ công trên hệ thống. Bản vá cho IE zero-day sẽ không có sẵn qua Windows Update.
Lỗi DoS trên Defender
Vấn đề thứ hai là lỗ hổng từ chối dịch vụ (DoS) trong Microsoft Defender, trước đây gọi là Windows Defender, phần mềm chống virus đi kèm với Windows 8 và các phiên bản mới hơn, bao gồm cả bản phát hành Windows 10 phổ biến.
Theo Microsoft, "kẻ tấn công có thể khai thác lỗ hổng để ngăn chặn các tài khoản hợp pháp thực thi các hệ thống nhị phân hợp pháp".
Tin tốt là lỗi này không phải là một vấn đề lớn. Để khai thác lỗi này, trước tiên kẻ tấn công cần truy cập vào hệ thống của nạn nhân và phải có khả năng thực thi code.
Lỗi này cho phép hacker vô hiệu hóa các thành phần Microsoft Defender, nhưng nếu kẻ tấn công đã có "quyền thực thi" trên máy tính của nạn nhân, thì có nhiều cách khác để chạy mã độc mà không bị phát hiện.
Microsoft đã phát hành bản cập nhật v1.1.16400.2 cho Microsoft Malware Protection Engine, một thành phần của chương trình anti-vius cho Microsoft Defender, để khắc phục sự cố này.
Theo: ZDNet