Bản vá Tháng 3 năm 2023 của Microsoft giải quyết 83 lỗ hổng, trong đó có 2 lỗi zero-day đang bị khai thác.
Đáng chú ý trong danh sách 83 lỗ hổng, có 9 lỗ hổng nghiêm trọng cho phép thực thi mã từ xa, tấn công từ chối dịch vụ hoặc leo thang đặc quyền.
Dưới đây là danh sách các lỗ hổng:
Con số này không bao gồm 21 lỗ hổng Microsoft Edge đã được giải quyết ngày hôm qua.
Lỗ hổng thứ nhất CVE-2023-23397 trong Microsoft Outlook – Lỗi leo thang đặc quyền
Microsoft đã giải quyết một lỗi leo thang đặc quyền trong Microsoft Outlook. Lỗ hổng cho phép các email tự tạo buộc thiết bị của mục tiêu kết nối với một URL từ xa và gửi hàm băm Net-NTLMv2 của tài khoản Windows.
Microsoft khuyến cáo: "Những kẻ tấn công bên ngoài có thể gửi các email tự tạo để lừa nạn nhân kết nối đến một vị trí UNC bên ngoài do kẻ tấn công kiểm soát. Khi đó hàm băm Net-NTLMv2 của nạn nhân bị gửi cho kẻ tấn công và chúng có thể chuyển tiếp kết nối này đến một dịch vụ khác và giả mạo xác thực với tư cách là nạn nhân.”
Microsoft cảnh báo lỗ hổng này sẽ được kích hoạt trước khi được đọc trong khung xem trước (Preview Pane) vì "nó tự động kích hoạt khi được truy xuất và xử lý bởi máy chủ email."
Microsoft cho biết thêm lỗ hổng CVE-2023-23397 này đã bị khai thác bởi STRONTIUM , một nhóm tin tặc Nga được nhà nước hậu thuẫn.
Kẻ tấn công lạm dụng lỗ hổng này để thu thập các mã băm NTLM mục tiêu để xâm nhập vào mạng của nạn nhân, nơi mà chúng đã đánh cắp email của một số tài khoản cụ thể.
Lỗ hổng thứ hai CVE-2023-24880 - Lỗi vượt qua tính năng bảo mật Windows SmartScreen
Microsoft đã giải quyết lỗ hổng zero-day CVE-2023-24880 đang bị khai thác trong Windows SmartScreen. Lỗ hổng có thể được sử dụng để tạo các tệp thực thi vượt qua cảnh báo bảo mật Mark of the Web của Windows.
Hãng cho biết: "Kẻ tấn công có thể tạo một tệp độc hại để né tránh các giải pháp phòng thủ Mark of the Web (MoTW), dẫn đến việc mất tính toàn vẹn và tính khả dụng của các tính năng bảo mật như Protected View trong Microsoft Office.”
Sau khi phân tích, nhóm phân tích các mối đe dọa của Google đã xác định đó là một phiên bản khác của lỗi zero-day CVE-2022-44698 trước đó do nhóm ramsomware Magniber khai thác (Microsoft đã vá vào tháng 12).
Khi khai thác CVE-2022-44698, kẻ tấn công đã sử dụng các tệp JavaScript (.JS) độc lập có chữ ký không đúng định dạng. Lỗ hổng này khiến Windows SmartScreen phát sinh lỗi và tạo điều kiện cho kẻ xấu vượt qua các cảnh báo MoTW.
Sau khi CVE-2022-44698 được vá vào tháng 12, Google phát hiện Magniber đã chuyển sang sử dụng chữ ký mã xác thực không đúng định dạng trong các tệp MSI để vượt qua bản vá, do Microsoft chỉ vá lỗi lạm dụng tệp JavaScript được báo cáo ban đầu thay vì tìm ra nguyên nhân sâu xa của lỗ hổng.
Ngoài Microsoft, một số nhà cung cấp khác đã phát hành bản cập nhật Tháng 3 năm 2023 bao gồm:
Người dùng có thể xem danh sách các lỗ hổng và thực hiện cập nhật bản vá Patch Tuesday tháng 3 năm 2023 tại đây.
Hằng ngày, các rủi ro về bảo mật và cuộc tấn công mạng luôn diễn ra liên tục, điều này thường xảy ra khi người dùng không cập nhật bản vá. Đây là một lời nhắc nhở nghiêm túc của WhiteHat về sự chủ quan của nhiều người dùng có thể sẽ mang lại những hậu quả lớn sau đó.
Con số này không bao gồm 21 lỗ hổng Microsoft Edge đã được giải quyết ngày hôm qua.
Hai lỗ hổng zero-day được vá
Bản vá tháng này vá 2 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công. Nếu một lỗ hổng bị công khai hoặc bị khai thác mà không có bản vá chính thức nào được cung cấp, Microsoft sẽ phân loại nó là "zero-day".Lỗ hổng thứ nhất CVE-2023-23397 trong Microsoft Outlook – Lỗi leo thang đặc quyền
Microsoft đã giải quyết một lỗi leo thang đặc quyền trong Microsoft Outlook. Lỗ hổng cho phép các email tự tạo buộc thiết bị của mục tiêu kết nối với một URL từ xa và gửi hàm băm Net-NTLMv2 của tài khoản Windows.
Microsoft khuyến cáo: "Những kẻ tấn công bên ngoài có thể gửi các email tự tạo để lừa nạn nhân kết nối đến một vị trí UNC bên ngoài do kẻ tấn công kiểm soát. Khi đó hàm băm Net-NTLMv2 của nạn nhân bị gửi cho kẻ tấn công và chúng có thể chuyển tiếp kết nối này đến một dịch vụ khác và giả mạo xác thực với tư cách là nạn nhân.”
Microsoft cảnh báo lỗ hổng này sẽ được kích hoạt trước khi được đọc trong khung xem trước (Preview Pane) vì "nó tự động kích hoạt khi được truy xuất và xử lý bởi máy chủ email."
Microsoft cho biết thêm lỗ hổng CVE-2023-23397 này đã bị khai thác bởi STRONTIUM , một nhóm tin tặc Nga được nhà nước hậu thuẫn.
Kẻ tấn công lạm dụng lỗ hổng này để thu thập các mã băm NTLM mục tiêu để xâm nhập vào mạng của nạn nhân, nơi mà chúng đã đánh cắp email của một số tài khoản cụ thể.
Lỗ hổng thứ hai CVE-2023-24880 - Lỗi vượt qua tính năng bảo mật Windows SmartScreen
Microsoft đã giải quyết lỗ hổng zero-day CVE-2023-24880 đang bị khai thác trong Windows SmartScreen. Lỗ hổng có thể được sử dụng để tạo các tệp thực thi vượt qua cảnh báo bảo mật Mark of the Web của Windows.
Hãng cho biết: "Kẻ tấn công có thể tạo một tệp độc hại để né tránh các giải pháp phòng thủ Mark of the Web (MoTW), dẫn đến việc mất tính toàn vẹn và tính khả dụng của các tính năng bảo mật như Protected View trong Microsoft Office.”
Sau khi phân tích, nhóm phân tích các mối đe dọa của Google đã xác định đó là một phiên bản khác của lỗi zero-day CVE-2022-44698 trước đó do nhóm ramsomware Magniber khai thác (Microsoft đã vá vào tháng 12).
Khi khai thác CVE-2022-44698, kẻ tấn công đã sử dụng các tệp JavaScript (.JS) độc lập có chữ ký không đúng định dạng. Lỗ hổng này khiến Windows SmartScreen phát sinh lỗi và tạo điều kiện cho kẻ xấu vượt qua các cảnh báo MoTW.
Sau khi CVE-2022-44698 được vá vào tháng 12, Google phát hiện Magniber đã chuyển sang sử dụng chữ ký mã xác thực không đúng định dạng trong các tệp MSI để vượt qua bản vá, do Microsoft chỉ vá lỗi lạm dụng tệp JavaScript được báo cáo ban đầu thay vì tìm ra nguyên nhân sâu xa của lỗ hổng.
Ngoài Microsoft, một số nhà cung cấp khác đã phát hành bản cập nhật Tháng 3 năm 2023 bao gồm:
Người dùng có thể xem danh sách các lỗ hổng và thực hiện cập nhật bản vá Patch Tuesday tháng 3 năm 2023 tại đây.
Hằng ngày, các rủi ro về bảo mật và cuộc tấn công mạng luôn diễn ra liên tục, điều này thường xảy ra khi người dùng không cập nhật bản vá. Đây là một lời nhắc nhở nghiêm túc của WhiteHat về sự chủ quan của nhiều người dùng có thể sẽ mang lại những hậu quả lớn sau đó.
Đăng nhận xét