Ngày 12 tháng 7 năm 2023Tin tức về hacker Lỗ hổng / Bảo mật phần mềm
Microsoft hôm thứ Ba đã phát hành các bản cập nhật để giải quyết tổng cộng 130 lỗi bảo mật mới trên phần mềm của mình, bao gồm sáu lỗ hổng zero-day mà hãng cho biết đã bị khai thác tích cực trong thực tế.
Trong số 130 lỗ hổng, 9 lỗ hổng được xếp hạng Nghiêm trọng và 121 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng. Đây là bổ sung cho tám lỗ hổng mà gã khổng lồ công nghệ đã vá trong trình duyệt Edge dựa trên Chromium của họ vào cuối tháng trước.
Danh sách các vấn đề đã được khai thác tích cực như sau –
CVE-2023-32046 (Điểm CVSS: 7,8) – Mức độ dễ bị tổn thương đặc quyền của nền tảng Windows MSHTML
CVE-2023-32049 (Điểm CVSS: 8,8) – Lỗ hổng bỏ qua tính năng bảo mật Windows SmartScreen
CVE-2023-35311 (Điểm CVSS: 8,8) – Lỗ hổng bỏ qua tính năng bảo mật của Microsoft Outlook
CVE-2023-36874 (Điểm CVSS: 7,8) – Windows Error Reporting Service Độ cao của lỗ hổng đặc quyền
CVE-2023-36884 (Điểm CVSS: 8,3) – Lỗ hổng thực thi mã từ xa HTML của Office và Windows (Cũng được công khai tại thời điểm phát hành)
ADV230001 – Sử dụng trái phép trình điều khiển do Microsoft ký cho hoạt động sau khai thác (không chỉ định CVE)
Các nhà sản xuất Windows cho biết họ biết về các cuộc tấn công có chủ đích nhằm vào các tổ chức quốc phòng và chính phủ ở Châu Âu và Bắc Mỹ đang cố gắng khai thác CVE-2023-36884 bằng cách sử dụng các tài liệu Microsoft Office được chế tạo đặc biệt liên quan đến Đại hội Thế giới Ukraine, lặp lại những phát hiện mới nhất từ BlackBerry .
Microsoft cho biết: “Kẻ tấn công có thể tạo một tài liệu Microsoft Office được chế tạo đặc biệt cho phép chúng thực hiện thực thi mã từ xa trong ngữ cảnh của nạn nhân. “Tuy nhiên, kẻ tấn công sẽ phải thuyết phục nạn nhân mở tệp độc hại.”
Công ty đã gắn cờ chiến dịch xâm nhập cho một nhóm tội phạm mạng Nga mà họ theo dõi là Storm-0978, nhóm này còn được biết đến với các tên RomCom, Tropical Scorpius, UNC2596 và Void Rabisu.
Nhóm Microsoft Threat Intelligence giải thích: “Kẻ tấn công cũng triển khai phần mềm tống tiền ngầm, có liên quan chặt chẽ với phần mềm tống tiền Gián điệp công nghiệp lần đầu tiên được phát hiện trong thực tế vào tháng 5 năm 2022”. “Chiến dịch mới nhất của nam diễn viên được phát hiện vào tháng 6 năm 2023 liên quan đến việc lạm dụng CVE-2023-36884 để cung cấp một cửa hậu tương tự như RomCom.”
Các cuộc tấn công lừa đảo gần đây do kẻ tấn công dàn dựng đã dẫn đến việc sử dụng các phiên bản bị trojan hóa của phần mềm hợp pháp được lưu trữ trên các trang web tương tự để triển khai một trojan truy cập từ xa có tên là RomCom RAT nhằm vào các mục tiêu Ukraine và thân Ukraine khác nhau ở Đông Âu và Bắc Mỹ.
Mặc dù RomCom lần đầu tiên được coi là một nhóm gắn liền với phần mềm tống tiền Cuba, nhưng kể từ đó, nó đã được liên kết với các chủng phần mềm tống tiền khác như Gián điệp công nghiệp cũng như một biến thể mới có tên là Ngầm kể từ tháng 7 năm 2023, cho thấy mã nguồn trùng lặp đáng kể với Gián điệp công nghiệp.
Microsoft cho biết họ dự định thực hiện “hành động thích hợp để giúp bảo vệ khách hàng của chúng tôi” dưới dạng bản cập nhật bảo mật ngoài phạm vi hoặc thông qua quy trình phát hành hàng tháng. Trong trường hợp không có bản vá cho CVE-2023-36884, công ty đang kêu gọi người dùng sử dụng quy tắc “Chặn tất cả các ứng dụng Office khỏi việc tạo quy trình con” (ASR).
Redmond cho biết thêm rằng họ đã thu hồi các chứng chỉ ký mã được sử dụng để ký và cài đặt trình điều khiển chế độ nhân độc hại trên các hệ thống bị xâm nhập bằng cách khai thác lỗ hổng chính sách của Windows để thay đổi ngày ký của trình điều khiển trước ngày 29 tháng 7 năm 2015, bằng cách sử dụng các công cụ nguồn mở như HookSignTool và FuckCertVerifyTimeValidity.
Các phát hiện cho thấy rằng việc sử dụng các trình điều khiển chế độ nhân giả mạo đang thu hút sự chú ý của các tác nhân đe dọa khi chúng hoạt động ở mức đặc quyền cao nhất trên Windows, do đó có thể thiết lập tính bền vững trong thời gian dài đồng thời can thiệp vào hoạt động của phần mềm bảo mật để trốn tránh sự phát hiện.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 PAM Security – Giải pháp chuyên nghiệp để bảo mật các tài khoản nhạy cảm của bạn
Hội thảo trực tuyến do chuyên gia hướng dẫn này sẽ trang bị cho bạn kiến thức và chiến lược cần thiết để chuyển đổi chiến lược bảo mật quyền truy cập đặc quyền của mình.
Đặt chỗ của bạn
Hiện vẫn chưa rõ các lỗ hổng khác đang bị khai thác như thế nào và mức độ lan rộng của các cuộc tấn công đó. Nhưng trước tình trạng lạm dụng tích cực, người dùng nên nhanh chóng áp dụng các bản cập nhật để giảm thiểu các mối đe dọa tiềm ẩn.
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm —
