Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mới trong dòng sản phẩm phần mềm của mình, bao gồm một lỗ hổng zero-day đã được khai thác tích cực trong các cuộc tấn công trong thế giới thực.
Trong số 64 lỗi, 5 lỗi được đánh giá là Nghiêm trọng, 57 lỗi được đánh giá là Quan trọng, một lỗi được xếp hạng Trung bình và một lỗi được đánh giá là Mức độ nghiêm trọng thấp. Các bản vá bổ sung cho 16 lỗ hổng mà Microsoft đã giải quyết trong trình duyệt Edge dựa trên Chromium của mình vào đầu tháng này.
Bharat Jogi, giám đốc nghiên cứu về lỗ hổng và mối đe dọa tại Qualys, cho biết trong một tuyên bố chia sẻ với The Hacker News: “Về mặt CVE được phát hành, bản vá thứ ba này có thể xuất hiện ở khía cạnh nhẹ hơn so với các tháng khác.
“Tuy nhiên, tháng này đã đạt một cột mốc quan trọng trong năm dương lịch, với việc MSFT đã ấn định CVE thứ 1000 của năm 2022 – có khả năng vượt qua năm 2021, với tổng số vá được 1.200 CVE.”
Lỗ hổng được khai thác tích cực đang được đề cập là CVE-2022-37969 (điểm CVSS: 7,8), một lỗ hổng báo cáo đặc quyền ảnh hưởng đến Trình điều khiển Hệ thống tệp nhật ký chung của Windows (CLFS), có thể bị kẻ thù lợi dụng để đạt được đặc quyền HỆ THỐNG trên một thiết bị đã bị xâm phạm tài sản.
“Kẻ tấn công phải có quyền truy cập và khả năng chạy mã trên hệ thống mục tiêu. Kỹ thuật này không cho phép thực thi mã từ xa trong trường hợp kẻ tấn công không có khả năng đó trên hệ thống mục tiêu”, Microsoft cho biết trong một lời khuyên.
Greg Wiseman, giám đốc sản phẩm tại Rapid7, cho biết gã khổng lồ công nghệ đã ghi nhận bốn nhóm nhà nghiên cứu khác nhau từ CrowdStrike, DBAPPSecurity, Mandiant và Zscaler để báo cáo lỗ hổng này, có thể là một dấu hiệu của việc khai thác rộng rãi trong tự nhiên, Greg Wiseman, giám đốc sản phẩm tại Rapid7, cho biết trong một tuyên bố.
CVE-2022-37969 cũng là lỗ hổng zero-day thứ hai được khai thác tích cực trong thành phần CLFS sau CVE-2022-24521 (điểm CVSS: 7,8), lỗ hổng thứ hai đã được Microsoft giải quyết như một phần của bản cập nhật Bản vá thứ ba tháng 4 năm 2022.
Không rõ ngay lập tức CVE-2022-37969 có phải là bản vá lỗi cho CVE-2022-24521 hay không. Các sai sót quan trọng khác cần lưu ý như sau:
CVE-2022-34718 (Điểm CVSS: 9,8) – Lỗ hổng thực thi mã từ xa Windows TCP / IP
CVE-2022-34721 (Điểm CVSS: 9,8) – Tiện ích mở rộng giao thức Windows Internet Key Exchange (IKE) Giao thức mở rộng lỗ hổng thực thi mã từ xa
CVE-2022-34722 (Điểm CVSS: 9,8) – Tiện ích mở rộng giao thức Windows Internet Key Exchange (IKE) Giao thức mở rộng lỗ hổng thực thi mã từ xa
CVE-2022-34700 (Điểm CVSS: 8,8) – Lỗ hổng thực thi mã từ xa của Microsoft Dynamics 365 (tại chỗ)
CVE-2022-35805 (Điểm CVSS: 8,8) – Lỗ hổng thực thi mã từ xa của Microsoft Dynamics 365 (tại chỗ)
Microsoft cho biết về CVE-2022-34721 và CVE-2022-34722: “Kẻ tấn công không được xác thực có thể gửi một gói IP được chế tạo đặc biệt tới một máy mục tiêu đang chạy Windows và đã bật IPSec, có thể cho phép khai thác thực thi mã từ xa.
Cũng được Microsoft giải quyết là 15 lỗi thực thi mã từ xa trong Microsoft ODBC Driver, Microsoft OLE DB Provider cho SQL Server và Microsoft SharePoint Server và năm lỗi leo thang đặc quyền liên quan đến Windows Kerberos và Windows Kernel.
Bản phát hành tháng 9 đáng chú ý hơn nữa vì đã vá một lỗ hổng đặc quyền nâng cao khác trong mô-đun Print Spooler (CVE-2022-38005, điểm CVSS: 7,8) có thể bị lạm dụng để có được quyền cấp HỆ THỐNG.
Cuối cùng, bao gồm trong hàng loạt các bản cập nhật bảo mật là bản sửa lỗi được phát hành bởi nhà sản xuất chip Arm cho lỗ hổng thực thi đầu cơ có tên là Branch History Injection hoặc Spectre-BHB (CVE-2022-23960) đã xuất hiện vào đầu tháng 3 này.
Jogi cho biết: “Loại lỗ hổng này gây ra một vấn đề lớn đối với các tổ chức đang cố gắng giảm thiểu, vì họ thường yêu cầu cập nhật hệ điều hành, chương trình cơ sở và trong một số trường hợp, phải biên dịch lại các ứng dụng và tăng cường độ cứng,” Jogi nói. “Nếu kẻ tấn công khai thác thành công loại lỗ hổng này, chúng có thể có quyền truy cập vào thông tin nhạy cảm.”
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành kể từ đầu tháng để khắc phục hàng tá lỗ hổng, bao gồm –
.
