Nóng: Rò rỉ PoC cho CVE-2023-23397, điểm 9.8 trong Microsoft Outlook

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Nóng: Rò rỉ PoC cho CVE-2023-23397, điểm 9.8 trong Microsoft Outlook
Cập nhật ngày 17/03/2023:

Hiện tại trên mạng xã hội lan truyền PoC của lỗ hổng zero-day CVE-2023-23397 trong Microsoft Outlook với điểm CVSS 9.8 gần như kịch trần.

Chuyên gia WhiteHat đánh giá đây là một lỗ hổng nghiêm trọng với phạm vi ảnh hưởng lớn, cho phép tin tặc đánh cắp mật khẩu băm từ xa chỉ bằng phương pháp đơn giản là gửi một email được tạo đến nạn nhân.

Chi tiết về cách thức khai thác lỗ hổng mọi người có thể tham khảo tại đây.



Bản vá Tháng 3 năm 2023 của Microsoft giải quyết 83 lỗ hổng, trong đó có 2 lỗi zero-day đang bị khai thác.

Đáng chú ý trong danh sách 83 lỗ hổng, có 9 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa, tấn công từ chối dịch vụ hoặc leo thang đặc quyền.

Patch Tuesday Thang 3-4.jpg

Dưới đây là danh sách các lỗ hổng:
  • 21 lỗ hổng Elevation of Privilege
  • 2 lỗ hổng Security Feature Bypass
  • 27 lỗ hổng Remote Code Execution
  • 15 lỗ hổng Information Disclosure
  • 4 lỗ hổng Denial of Service
  • 10 lỗ hổng Spoofing
  • 1 lỗ hổng Edge - Chromium
Con số này không bao gồm 21 lỗ hổng Microsoft Edge đã được giải quyết ngày hôm qua.

Hai lỗ hổng zero-day được vá

Bản vá tháng này vá 2 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công. Nếu một lỗ hổng bị công khai hoặc bị khai thác mà không có bản vá chính thức nào được cung cấp, Microsoft sẽ phân loại nó là "zero-day".

Lỗ hổng thứ nhất CVE-2023-23397 trong Microsoft Outlook – Lỗi leo thang đặc quyền

Microsoft đã giải quyết một lỗi leo thang đặc quyền trong Microsoft Outlook. Lỗ hổng CVE-2023-23397, điểm CVSS 9.8 cho phép các email tự tạo buộc thiết bị của mục tiêu kết nối với một URL từ xa và gửi hàm băm Net-NTLMv2 của tài khoản Windows.

Microsoft khuyến cáo: "Những kẻ tấn công bên ngoài có thể gửi các email tự tạo để lừa nạn nhân kết nối đến một vị trí UNC bên ngoài do kẻ tấn công kiểm soát. Khi đó hàm băm Net-NTLMv2 của nạn nhân bị gửi cho kẻ tấn công và chúng có thể chuyển tiếp kết nối này đến một dịch vụ khác và giả mạo xác thực với tư cách là nạn nhân.”

Microsoft cảnh báo lỗ hổng này sẽ được kích hoạt trước khi được đọc trong khung xem trước (Preview Pane) vì "nó tự động kích hoạt khi được truy xuất và xử lý bởi máy chủ email."

Microsoft cho biết CVE-2023-23397 đã bị khai thác bởi STRONTIUM, một nhóm tin tặc Nga được nhà nước hậu thuẫn.

Kẻ tấn công lạm dụng lỗ hổng này để thu thập các mã băm NTLM mục tiêu để xâm nhập vào mạng của nạn nhân, nơi mà chúng đã đánh cắp email của một số tài khoản cụ thể.

Lỗ hổng thứ hai CVE-2023-24880 - Lỗi vượt qua tính năng bảo mật Windows SmartScreen

Microsoft cũng giải quyết lỗ hổng zero-day CVE-2023-24880, điểm CVSS 5.4 đang bị khai thác trong Windows SmartScreen. Lỗ hổng có thể được sử dụng để tạo các tệp thực thi vượt qua cảnh báo bảo mật Mark of the Web của Windows.

Hãng cho biết: "Kẻ tấn công có thể tạo một tệp độc hại để né tránh các giải pháp phòng thủ Mark of the Web (MoTW), dẫn đến mất tính toàn vẹn và tính khả dụng của các tính năng bảo mật như Protected View trong Microsoft Office.”

Nhóm phân tích các mối đe dọa của Google đã xác định đó là một phiên bản khác của lỗi zero-day CVE-2022-44698 trước đó do băng đảng ransomware Magniber khai thác (Microsoft đã vá vào tháng 12).

Khi khai thác CVE-2022-44698, kẻ tấn công đã sử dụng các tệp JavaScript (.JS) độc lập có chữ ký không đúng định dạng. Lỗ hổng này khiến Windows SmartScreen phát sinh lỗi và tạo điều kiện cho kẻ tấn công vượt qua các cảnh báo MoTW.

Sau khi CVE-2022-44698 được vá vào tháng 12, Google phát hiện Magniber đã chuyển sang sử dụng chữ ký mã xác thực không đúng định dạng trong các tệp MSI để vượt qua bản vá, do Microsoft chỉ vá lỗi lạm dụng tệp JavaScript được báo cáo ban đầu thay vì tìm ra nguyên nhân sâu xa của lỗ hổng.

Ngoài Microsoft, một số nhà cung cấp khác đã phát hành bản cập nhật Tháng 3 năm 2023 bao gồm:
  • Apple phát hành bản cập nhật cho GarageBand cho macOS 10.4.8.
  • Cisco phát hành các bản cập nhật cho nhiều sản phẩm.
  • Google phát hành bản cập nhật cho Android, ChromeOS và Google Chrome .
  • Fortinet phát hành bản cập nhật cho lỗi FortiOS đang bị khai thác trong các cuộc tấn công.
  • SAP phát hành bản cập nhật Patch Day tháng 3 năm 2023.
  • Veeam phát hành bản cập nhật cho lỗ hổng RCE trong Veeam Backup & Replication (VBR).
Người dùng có thể xem danh sách các lỗ hổng và thực hiện cập nhật bản vá Patch Tuesday tháng 3 năm 2023 tại đây.

Hằng ngày, các lỗ hổng và cuộc tấn công mạng luôn diễn ra liên tục, điều này thường xảy ra khi người dùng không cập nhật bản vá. Đây là một lời nhắc nhở nghiêm túc của WhiteHat về sự chủ quan của nhiều người dùng có thể sẽ mang lại những rủi ro an ninh mạng.

Theo Bleeping Computer, WhiteHat
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cho em hỏi là để vá lỗ hổng này thì cần làm gì ạ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
2 Comments
WhiteHat Team
Bạn nên cập nhật bản vá Patch Tuesday tháng 3 nhé.
 
H
hplam

Dạ e cảm ơn ad, do Công ty chủ yếu dùng Outlook nên đọc xong thấy hơi lo
 
Thẻ
cve-2023-23397 cve-2023-24880 microsoft patch tuesday zero-day
Bên trên