Ngày 10 tháng 5 năm 2023Ravie LakshmananNgày không / Lỗ hổng
Microsoft đã tung ra các bản cập nhật Patch Thứ Ba cho tháng 5 năm 2023 để giải quyết 38 lỗi bảo mật, bao gồm hai lỗi zero-day mà hãng cho biết đang bị khai thác tích cực trong thực tế.
Sáng kiến Zero Day (ZDI) của Trend Micro cho biết khối lượng giao dịch là thấp nhất kể từ tháng 8 năm 2021, mặc dù họ chỉ ra rằng “con số này dự kiến sẽ tăng trong những tháng tới.”
Trong số 38 lỗ hổng, 6 lỗ hổng được xếp hạng Nghiêm trọng và 32 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng. Tám trong số các lỗ hổng đã được Microsoft gắn thẻ đánh giá “Khả năng khai thác cao hơn”.
Đây là ngoài 18 lỗi – bao gồm 11 lỗi kể từ đầu tháng 5 – nhà sản xuất Windows đã giải quyết trong trình duyệt Edge dựa trên Chromium của mình sau khi phát hành bản cập nhật Bản vá Thứ Ba Tháng Tư.
Đứng đầu danh sách là CVE-2023-29336 (điểm CVSS: 7,8), một lỗ hổng leo thang đặc quyền trong Win32k đã bị khai thác tích cực. Hiện chưa rõ mức độ lan rộng của các cuộc tấn công.
“Kẻ tấn công đã khai thác thành công lỗ hổng này có thể giành được các đặc quyền HỆ THỐNG”, Microsoft cho biết, ghi nhận các nhà nghiên cứu của Avast là Jan Vojtěšek, Milánek và Luigino Camastra vì đã báo cáo lỗ hổng.
Sự phát triển đã khiến Cơ quan An ninh Cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) bổ sung lỗ hổng này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), kêu gọi các tổ chức áp dụng các bản sửa lỗi của nhà cung cấp trước ngày 30 tháng 5 năm 2023.
Cũng cần lưu ý là có hai lỗ hổng được biết đến rộng rãi, một trong số đó là lỗ hổng thực thi mã từ xa nghiêm trọng ảnh hưởng đến Windows OLE (CVE-2023-29325, điểm CVSS: 8.1) có thể được kẻ tấn công vũ khí hóa bằng cách gửi email được tạo đặc biệt cho nạn nhân .
Microsoft, với tư cách là biện pháp giảm thiểu, khuyến nghị người dùng nên đọc email ở định dạng văn bản thuần túy để bảo vệ khỏi lỗ hổng bảo mật này.
Lỗ hổng được biết đến công khai thứ hai là CVE-2023-24932 (điểm CVSS: 6,7), một tính năng bảo mật Khởi động an toàn được bỏ qua được vũ khí hóa bởi bộ khởi động BlackLotus UEFI để khai thác CVE-2022-21894 (còn gọi là Baton Drop), đã được giải quyết vào tháng 1 năm 2022 .
“Lỗ hổng này cho phép kẻ tấn công thực thi mã tự ký ở cấp Giao diện phần sụn mở rộng hợp nhất (UEFI) trong khi Khởi động an toàn được bật”, Microsoft cho biết trong một hướng dẫn riêng.
“Điều này được các tác nhân đe dọa sử dụng chủ yếu như một cơ chế trốn tránh phòng thủ và kiên trì. Việc khai thác thành công phụ thuộc vào kẻ tấn công có quyền truy cập vật lý hoặc đặc quyền quản trị viên cục bộ trên thiết bị được nhắm mục tiêu.”
Cần lưu ý rằng bản sửa lỗi do Microsoft cung cấp bị tắt theo mặc định và yêu cầu khách hàng áp dụng thủ công việc hủy bỏ, nhưng không phải trước khi cập nhật tất cả phương tiện có thể khởi động.
Microsoft cảnh báo: “Khi tính năng giảm thiểu sự cố này được bật trên thiết bị, nghĩa là việc hủy bỏ đã được áp dụng, nó sẽ không thể hoàn nguyên nếu bạn tiếp tục sử dụng Khởi động an toàn trên thiết bị đó”. “Ngay cả việc định dạng lại đĩa sẽ không xóa các hủy bỏ nếu chúng đã được áp dụng.”
Gã khổng lồ công nghệ cho biết họ đang thực hiện một cách tiếp cận theo từng giai đoạn để chặn hoàn toàn vectơ tấn công nhằm tránh các rủi ro gián đoạn ngoài ý muốn, một quá trình dự kiến sẽ kéo dài cho đến quý đầu tiên của năm 2024.
“Các chương trình Khởi động an toàn dựa trên UEFI hiện đại cực kỳ phức tạp để định cấu hình chính xác và/hoặc để giảm các bề mặt tấn công của chúng một cách có ý nghĩa”, công ty bảo mật phần sụn Binarly đã lưu ý vào đầu tháng 3 này. “Điều đó đang được nói, các cuộc tấn công bộ nạp khởi động có thể sẽ không sớm biến mất.”
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm —
(Câu chuyện đã được cập nhật sau khi xuất bản để đề cập rằng bản phát hành Bản vá Thứ Ba sửa hai lỗi zero-day được khai thác tích cực chứ không phải một lỗi như đã nêu trước đây. Lỗi này rất tiếc.)
