Ngày 10 tháng 5 năm 2023Ravie LakshmananLỗ hổng / Windows
Các nhà nghiên cứu an ninh mạng đã chia sẻ chi tiết về một lỗ hổng bảo mật hiện đã được vá trong nền tảng Windows MSHTML có thể bị lạm dụng để vượt qua các biện pháp bảo vệ toàn vẹn trên các máy được nhắm mục tiêu.
Lỗ hổng, được theo dõi là CVE-2023-29324 (điểm CVSS: 6,5), đã được mô tả là một tính năng bảo mật bỏ qua. Nó đã được Microsoft giải quyết như một phần của bản cập nhật Bản vá Thứ Ba cho tháng 5 năm 2023.
Nhà nghiên cứu bảo mật Ben Barnea của Akamai, người đã phát hiện và báo cáo lỗi, lưu ý rằng tất cả các phiên bản Windows đều bị ảnh hưởng, nhưng chỉ ra Microsoft, Exchange
các máy chủ có bản cập nhật tháng 3 bỏ qua tính năng dễ bị tấn công.
Barnea cho biết trong một báo cáo được chia sẻ với The Hacker News: “Kẻ tấn công không được xác thực trên internet có thể sử dụng lỗ hổng để ép buộc ứng dụng khách Outlook kết nối với máy chủ do kẻ tấn công kiểm soát.
“Điều này dẫn đến hành vi trộm cắp thông tin đăng nhập NTLM. Đây là một lỗ hổng không nhấp chuột, có nghĩa là nó có thể được kích hoạt mà không cần sự tương tác của người dùng.”
Cũng cần lưu ý rằng CVE-2023-29324 là một bản sửa lỗi bỏ qua mà Microsoft đưa ra vào tháng 3 năm 2023 để giải quyết CVE-2023-23397, một lỗ hổng leo thang đặc quyền nghiêm trọng trong Outlook mà công ty cho biết đã bị các tác nhân đe dọa Nga khai thác trong các cuộc tấn công nhằm vào các thực thể châu Âu kể từ tháng 4/2022.
Akamai cho biết vấn đề bắt nguồn từ việc xử lý phức tạp các đường dẫn trong Windows, do đó cho phép kẻ đe dọa tạo ra một URL độc hại có thể vượt qua kiểm tra vùng an ninh internet.
“Lỗ hổng này là một ví dụ khác về việc xem xét kỹ lưỡng bản vá dẫn đến các lỗ hổng và bỏ qua mới,” Barnea nói. “Đó là một bề mặt tấn công phân tích cú pháp phương tiện không cần nhấp chuột có khả năng chứa các lỗ hổng tham nhũng bộ nhớ quan trọng.”
Để luôn được bảo vệ hoàn toàn, Microsoft tiếp tục khuyến nghị người dùng cài đặt các bản cập nhật tích lũy của Internet Explorer để giải quyết các lỗ hổng trong nền tảng MSHTML và công cụ tạo tập lệnh.
