Các bản sửa lỗi Patch Tuesday đầu tiên do Microsoft cung cấp cho năm 2023 đã xử lý tổng cộng 98 lỗi bảo mật, bao gồm một lỗi mà công ty cho biết đang bị khai thác tích cực trong thực tế.
11 trong số 98 vấn đề được xếp hạng Nghiêm trọng và 87 vấn đề được xếp hạng Quan trọng về mức độ nghiêm trọng, với một trong những lỗ hổng bảo mật cũng được liệt kê là đã biết công khai tại thời điểm phát hành. Một cách riêng biệt, nhà sản xuất Windows dự kiến sẽ phát hành các bản cập nhật cho trình duyệt Edge dựa trên Chromium của mình.
Lỗ hổng đang bị tấn công liên quan đến CVE-2023-21674 (điểm CVSS: 8,8), một lỗ hổng leo thang đặc quyền trong Lệnh gọi thủ tục cục bộ nâng cao của Windows (ALPC) có thể bị kẻ tấn công khai thác để giành quyền HỆ THỐNG.
“Lỗ hổng này có thể dẫn đến việc thoát hộp cát của trình duyệt”, Microsoft lưu ý trong một lời khuyên, đồng thời ghi nhận các nhà nghiên cứu của Avast là Jan Vojtěšek, Milánek và Przemek Gmerek vì đã báo cáo lỗi này.
Mặc dù thông tin chi tiết về lỗ hổng bảo mật vẫn đang được giữ bí mật, nhưng việc khai thác thành công yêu cầu kẻ tấn công phải lây nhiễm ban đầu trên máy chủ. Cũng có khả năng lỗ hổng này được kết hợp với một lỗi hiện có trong trình duyệt web để thoát ra khỏi hộp cát và giành được các đặc quyền cao hơn.
Kev Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết.
Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable, cho biết: “Tuy nhiên, cơ hội để một chuỗi khai thác như thế này được sử dụng rộng rãi là rất hạn chế do tính năng tự động cập nhật được sử dụng để vá các trình duyệt”.
Cũng cần lưu ý rằng Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã bổ sung lỗ hổng này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), thúc giục các cơ quan liên bang áp dụng các bản vá trước ngày 31 tháng 1 năm 2023.
Hơn nữa, CVE-2023-21674 là lỗ hổng thứ tư như vậy được xác định trong ALPC – cơ sở liên lạc giữa các quá trình (IPC) được cung cấp bởi nhân Microsoft Windows – sau CVE-2022-41045, CVE-2022-41093 và CVE-2022 -41100 (điểm CVSS: 7,8), ba điểm sau được cắm vào tháng 11 năm 2022.
Hai lỗ hổng leo thang đặc quyền khác được xác định là có mức độ ưu tiên cao ảnh hưởng đến Microsoft Exchange Server (CVE-2023-21763 và CVE-2023-21764, điểm CVSS: 7,8), xuất phát từ một bản vá chưa hoàn chỉnh cho CVE-2022-41123, theo Qualys .
“Kẻ tấn công có thể thực thi mã với các đặc quyền ở cấp HỆ THỐNG bằng cách khai thác đường dẫn tệp được mã hóa cứng”, Saeed Abbasi, giám đốc nghiên cứu về lỗ hổng và mối đe dọa tại Qualys, cho biết trong một tuyên bố.
Microsoft cũng đã giải quyết vấn đề này là bỏ qua tính năng bảo mật trong SharePoint Server (CVE-2023-21743, điểm CVSS: 5,3) có thể cho phép kẻ tấn công không được xác thực phá vỡ xác thực và tạo kết nối ẩn danh. Gã khổng lồ công nghệ lưu ý “khách hàng cũng phải kích hoạt hành động nâng cấp SharePoint có trong bản cập nhật này để bảo vệ nhóm SharePoint của họ.”
Bản cập nhật tháng 1 khắc phục thêm một số lỗi leo thang đặc quyền, bao gồm một lỗi trong Trình quản lý thông tin xác thực Windows (CVE-2023-21726, điểm CVSS: 7,8) và ba lỗi ảnh hưởng đến thành phần Bộ đệm máy in (CVE-2023-21678, CVE-2023-21760, và CVE-2023-21765).
Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã được ghi nhận là đã báo cáo CVE-2023-21678. Tổng cộng, 39 lỗ hổng mà Microsoft đã khắc phục trong bản cập nhật mới nhất cho phép nâng cao đặc quyền.
Làm tròn danh sách là CVE-2023-21549 (điểm CVSS: 8,8), một lỗ hổng nâng cao đặc quyền được biết đến công khai trong Dịch vụ Nhân chứng SMB của Windows và một trường hợp bỏ qua tính năng bảo mật khác ảnh hưởng đến BitLocker (CVE-2023-21563, điểm CVSS: 6.8).
Microsoft cho biết: “Kẻ tấn công thành công có thể vượt qua tính năng Mã hóa thiết bị BitLocker trên thiết bị lưu trữ hệ thống. “Kẻ tấn công có quyền truy cập vật lý vào mục tiêu có thể khai thác lỗ hổng này để giành quyền truy cập vào dữ liệu được mã hóa.”
Cuối cùng, Redmond đã sửa đổi hướng dẫn của mình về việc sử dụng độc hại trình điều khiển đã ký (được gọi là Mang theo trình điều khiển dễ bị tổn thương của riêng bạn) để đưa vào danh sách chặn cập nhật được phát hành như một phần của bản cập nhật bảo mật Windows vào ngày 10 tháng 1 năm 2023.
CISA hôm thứ Ba cũng đã thêm CVE-2022-41080, một lỗ hổng leo thang đặc quyền Exchange Server, vào danh mục KEV sau các báo cáo rằng lỗ hổng này đang được xâu chuỗi cùng với CVE-2022-41082 để thực thi mã từ xa trên các hệ thống dễ bị tấn công.
Việc khai thác, có tên mã là OWASSRF của CrowdStrike, đã được các tác nhân ransomware Play tận dụng để xâm phạm môi trường mục tiêu. Các lỗi đã được Microsoft khắc phục vào tháng 11 năm 2022.
Các bản cập nhật Patch Tuesday cũng đến khi Windows 7, Windows 8.1 và Windows RT kết thúc hỗ trợ vào ngày 10 tháng 1 năm 2023. Microsoft cho biết họ sẽ không cung cấp chương trình Cập nhật bảo mật mở rộng (ESU) cho Windows 8.1, thay vào đó khuyến khích người dùng nâng cấp lên Windows 11.
Công ty cảnh báo: “Việc tiếp tục sử dụng Windows 8.1 sau ngày 10 tháng 1 năm 2023 có thể làm tăng khả năng gặp rủi ro bảo mật của tổ chức hoặc ảnh hưởng đến khả năng đáp ứng các nghĩa vụ tuân thủ của tổ chức”.
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành kể từ đầu tháng để khắc phục một số lỗ hổng, bao gồm —
