Microsoft phát hành bản vá khắc phục 90 lỗ hổng mới

Gần đây, Microsoft công bố hai lỗ hổng bảo mật trong Windows NT LAN Manager (NTLM) và Task Scheduler đang bị khai thác tích cực trong thực tế. 

Những lỗ hổng bảo mật này nằm trong số 90 lỗi bảo mật mà gã khổng lồ công nghệ đã khắc phục trong bản cập nhật Patch Tuesday tháng 11 năm 2024. Trong đó, có 4 lỗ hổng được đánh giá là Nghiêm trọng, 85 lỗ hổng Quan trọng, và một lỗ hổng Trung bình. Đặc biệt, có 52 lỗ hổng cho phép thực thi mã từ xa.

Hai lỗ hổng đang bị khai thác được xác định là:

  • CVE-2024-43451 (Điểm CVSS: 6.5): Lỗ hổng này cho phép kẻ tấn công đánh cắp thông tin NTLMv2 Hash của người dùng.
  • CVE-2024-49039 (Điểm CVSS: 8.8): Lỗ hổng này có thể cho phép kẻ tấn công nâng cao đặc quyền trong Windows Task Scheduler.

Theo Microsoft, lỗ hổng CVE-2024-43451 cho phép kẻ tấn công khai thác NTLMv2 Hash, từ đó có thể xác thực người dùng. Lỗ hổng này là lỗ hổng thứ ba trong năm nay làm lộ thông tin NTLMv2 Hash, bên cạnh các lỗ hổng đã được vá vào tháng 2 và tháng 7.

Satnam Narang, kỹ sư tại Tenable, cho biết kẻ tấn công vẫn đang tích cực tìm kiếm các lỗ hổng có thể làm lộ NTLMv2 Hash, vì chúng có thể được các kẻ tấn công sử dụng để truy cập vào hệ thống và di chuyển trong mạng.

Lỗ hổng CVE-2024-49039 cho phép kẻ tấn công thực hiện các chức năng RPC vốn bị hạn chế cho các tài khoản có đặc quyền. Tuy nhiên, Microsoft lưu ý rằng việc khai thác thành công đòi hỏi kẻ tấn công đã xác thực phải chạy một ứng dụng được thiết kế đặc biệt trên hệ thống mục tiêu để nâng cao đặc quyền của chúng.

Hiện tại vẫn chưa có thông tin cụ thể về cách những lỗ hổng này bị khai thác trong thực tế hoặc mức độ tấn công của các cuộc tấn công này, nhưng Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa chúng vào danh sách các lỗ hổng đã được khai thác.

Ngoài ra, một lỗ hổng khác, CVE-2024-49019 (Điểm CVSS: 7.8), cũng đã được công bố tuy nhiên lỗ hổng hiện tại chưa bị khai thác trong thực tế. Lỗ hổng này có thể cho phép kẻ tấn công đạt được đặc quyền quản trị tên miền trong Active Directory Certificate Services. 

Một lỗ hổng đáng chú ý khác là CVE-2024-43498 (Điểm CVSS: 9.8), lỗ hổng thực thi mã từ xa nghiêm trọng trong .NET và Visual Studio. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu đặc biệt đến ứng dụng web dễ bị tấn công.

Bản cập nhật cũng khắc phục lỗ hổng giao thức mã hóa quan trọng ảnh hưởng đến Windows Kerberos (CVE-2024-43639, điểm CVSS: 9.8) có thể bị kẻ tấn công chưa xác thực lợi dụng để thực thi mã từ xa.

Lỗ hổng được đánh giá cao nhất trong bản phát hành tháng này là lỗ hổng thực thi mã từ xa trong Azure CycleCloud (CVE-2024-43602, điểm CVSS: 9.9), cho phép kẻ tấn công có quyền người dùng cơ bản có được các đặc quyền root.

Cuối cùng, một CVE không phải do Microsoft phát hành được Redmond giải quyết là một lỗ hổng thực thi mã từ xa trong OpenSSL (CVE-2024-5535, điểm CVSS: 9.1). Lỗ hổng này ban đầu đã được vá vào tháng 6 năm 2024.

Cùng với bản cập nhật này, Microsoft cũng đã thông báo sẽ áp dụng Common Security Advisory Framework (CSAF) để cung cấp thông tin về các lỗ hổng mà máy tính có thể đọc được. Điều này nhằm nâng cao tính minh bạch trong việc xử lý và khắc phục các lỗ hổng, đồng thời cải thiện khả năng phản ứng của các tổ chức trước các mối đe dọa bảo mật.

Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành các bản cập nhật bảo mật trong thời gian gần đây để khắc phục các lỗ hổng, bao gồm:

  • Adobe
  • Amazon Web Services
  • AMD
  • Apple
  • ASUS
  • Atlassian
  • Bosch
  • Broadcom (bao gồm VMware)
  • Cisco
  • Citrix
  • CODESYS
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortinet
  • Fortra
  • GitLab
  • Google Android và Pixel
  • Google Chrome
  • Google Cloud
  • Google Wear OS
  • Hikvision
  • Hitachi Energy
  • HMS Networks
  • HP
  • HP Enterprise (bao gồm Aruba Networking)
  • IBM
  • Intel
  • Ivanti
  • Juniper Networks
  • Lenovo
  • Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, và Ubuntu
  • MediaTek
  • Mitel
  • Mitsubishi Electric
  • Mozilla Firefox, Firefox ESR, and Thunderbird
  • NETGEAR
  • NVIDIA
  • Okta
  • Palo Alto Networks
  • Progress Software
  • QNAP
  • Qualcomm
  • Rockwell Automation
  • Samsung
  • SAP
  • Schneider Electric
  • Siemens
  • SolarWinds
  • Splunk
  • Spring Framework
  • Synology
  • TP-Link
  • Trend Micro
  • Veeam
  • Veritas
  • Zimbra
  • Zoom
  • Zyxel

Nguồn: the hacker news