Microsoft khắc phục 118 lỗ hổng bảo mật bao gồm 5 lỗi Zero-Day trong bản vá Patch Tuesday tháng 10

lỗ hổng bảo mật

Mới đây, Microsoft vừa công bố các bản cập nhật cho 118 lỗ hổng bảo mật, bao gồm năm lỗ hổng zero-day, trong đó có hai lỗ hổng đang bị khai thác tích cực trong bản vá lỗi Patch Tuesday tháng 10/2024 .

Số lượng lỗ hổng theo từng loại lỗ hổng được khắc phục bao gồm: 28 lỗ hổng nâng cao đặc quyền; 7 lỗ hổng bỏ qua tính năng bảo mật; 43 lỗ hổng thực thi mã từ xa; 6 lỗ hổng tiết lộ thông tin; 26 lỗ hổng từ chối dịch vụ; 7 lỗ hổng giả mạo và 01 lỗ hổng Tampering

Đặc biệt, bản vá lần này đã khắc phục 03 lỗi thực thi mã từ xa nghiêm trọng. Microsoft cho biết danh sách các lỗ hổng bảo mật được khắc phục trong bản vá lần này không bao gồm 3 lỗ hổng của sản phẩm Microsoft Edge đã được xử lý trước đó vào ngày 3/10.

lỗ hổng bảo mật 2

Trong số tất cả các lỗ hổng bảo mật được tiết lộ, lỗ hổng nghiêm trọng nhất liên quan đến lỗ hổng thực thi từ xa trong Microsoft Configuration Manager ( CVE-2024-43468 , điểm CVSS: 9,8) có thể cho phép các tác nhân chưa xác thực chạy các lệnh tùy ý.

Hai lỗ hổng bảo mật nghiêm trọng khác cũng liên quan đến việc thực thi mã từ xa trong Visual Studio Code dành cho Arduino ( CVE-2024-43488 , điểm CVSS: 8,8) và Truy cập máy chủ ảo từ xa (RDP) ( CVE-2024-43582 , điểm CVSS: 8,1).

2 lỗ hổng bảo mật zero-day đang bị khai thác tích cực 

CVE-2024-43572 – lỗ hổng thực thi mã từ xa (RCE) trong Microsoft Management Console (điểm CVSS 7.8)

Theo Mike Walters, chủ tịch của Action1 cho biết, hiện vẫn chưa rõ cách thức khai thác lỗ hổng bảo mật này trong thực tế, nhưng kẻ tấn công có thể kết hợp nó với các cuộc tấn công lừa đảo, leo thang đặc quyền hoặc lan truyền mạng để đánh cắp dữ liệu, tấn công mạng ngang hàng, xâm phạm hệ thống và triển khai backdoor.

Ông cảnh báo: “Do các hệ thống chạy trên Windows được sử dụng rộng rãi trong các doanh nghiệp và chính phủ, CVE-2024-43572 gây ra rủi ro đáng kể”.

Lỗ hổng bảo mật này cho phép các tệp Microsoft Saved Console (MSC) độc hại thực hiện lệnh thực thi mã từ xa trên các thiết bị dễ bị tấn công. Microsoft đã khắc phục lỗ hổng CVE-2024-43572 bằng cách ngăn không cho mở các tệp MSC không được tin tưởng.

Microsoft giải thích: “Bản vá tháng 10 sẽ ngăn chặn việc mở các tệp MSC không đáng tin cậy để bảo vệ khách hàng khỏi những rủi ro liên quan đến lỗ hổng bảo mật này”.

CVE-2024-43573 – Lỗ hổng giả mạo nền tảng MSHTML của Windows

Lỗi này cho phép kẻ tấn công lừa người dùng tin rằng họ đang truy cập vào một trang web hợp pháp nhằm thu thập thông tin hoặc đưa phần mềm độc hại vào.

Theo Walters, mặc dù chỉ có điểm CVSS là 6.5 nhưng nó vẫn có thể dẫn đến rủi ro lừa đảo hoặc đánh cắp dữ liệu “đáng kể”.

Lỗ hổng này liên quan đến nền tảng MSHTML, từng được Internet Explorer và Microsoft Edge Legacy sử dụng. Mặc dù Microsoft không cung cấp chi tiết cụ thể về cách thức khai thác, nhưng họ cho biết lỗ hổng bảo mật này có thể bị lợi dụng để giả mạo phần mở rộng tệp trong các cảnh báo khi mở tệp. Điều này có thể gây nhầm lẫn cho người dùng và dẫn đến việc họ mở các tệp độc hại mà không hay biết.

Microsoft giải thích mặc dù họ đã ngừng hỗ trợ ứng dụng Internet Explorer 11 và Microsoft Edge Legacy trên một số nền tảng nhất định, nhưng các nền tảng MSHTML Platform, EdgeHTML và tập lệnh cơ bản vẫn được hỗ trợ.

Điều đáng chú ý là CVE-2024-43573 tương tự như CVE-2024-38112 và CVE-2024-43461, hai lỗ hổng giả mạo MSHTML khác đã bị kẻ tấn công Void Banshee khai thác trước đó để phát tán phần mềm độc hại Atlantida Stealer.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã ghi nhận việc khai thác tích cực CVE-2024-43572 và CVE-2024-43573 và đã thêm chúng vào danh sách Lỗ hổng đã bị khai thác (KEV), yêu cầu các cơ quan liên bang vá lỗi trước ngày 29 tháng 10 năm 2024.

3 lỗ hổng bảo mật zero-day bị tiết lộ công khai

CVE-2024-6197 – Lỗi RCE nguồn mở của Curl (điểm CVSS 8.8) 

CVE-2024-6197 là lỗ hổng thực thi mã từ xa libcurl. Đường dẫn mã nguồn dễ bị tấn công có thể được kích hoạt bởi một máy chủ độc hại cung cấp chứng chỉ TLS được thiết kế đặc biệt.

Microsoft đã khắc phục lỗ hổng bảo mật này thông qua việc cập nhật thư viện libcurl được sử dụng bởi tệp thực thi Curl đi kèm với hệ điều hành Windows. 

CVE-2024-20659 – Lỗi bỏ qua tính năng bảo mật Windows Hyper-V

Lỗ hổng này liên quan đến máy ảo trong máy chủ UEFI (Unified Extensible Firmware Interface). Trên một số phần cứng cụ thể, khả năng bypass UEFI có thể dẫn đến việc xâm phạm hypervisor và kernel.

Microsoft cho biết rằng để khai thác lỗ hổng này, kẻ tấn công cần phải có quyền truy cập vật lý và khởi động lại thiết bị. Lỗ hổng được xác định là CVE-2024-20659 và được phát hiện bởi hai nhà nghiên cứu bảo mật Francisco Falcón và Iván Arce từ công ty an ninh mạng Quarkslab (Pháp).

CVE-2024-43583 – Lỗi nâng cao đặc quyền Winlogon

CVE-2024-43583 là lỗ hổng leo thang đặc quyền có thể cho phép cho kẻ tấn công đặc quyền SYSTEM trong Windows.

Microsoft cho biết để giải quyết lỗ hổng bảo mật này, cần phải đảm bảo rằng IME của Microsoft được bật trên thiết bị. Bằng cách này, người dùng có thể bảo vệ thiết bị của mình khỏi các lỗ hổng tiềm ẩn liên quan đến IME của bên thứ ba (3P) trong quá trình đăng nhập.

Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm:

Nguồn tham khảo: the hacker news , infosecurity magazine,