Ngày 11/12/2024, Microsoft phát hành bản vá bảo mật cuối cùng trong năm, xử lý tổng cộng 72 lỗ hổng bảo mật trên nhiều sản phẩm phần mềm của hãng. Trong số này, đáng chú ý nhất là một lỗ hổng leo thang đặc quyền (CVE-2024-49138) trên Windows Common Log File System (CLFS), được ghi nhận là đang bị khai thác ngoài thực tế.
Trong số 71 lỗ hổng, có 16 lỗ hổng nghiêm trọng thuộc loại thực thi mã từ xa (Remote Code Execution). Bản vá cũng khắc phục 31 lỗ hổng thực thi mã từ xa (RCE) và 27 lỗ hổng leo thang đặc quyền (EoP). Ngoài ra, 13 lỗ hổng khác trên trình duyệt Edge dựa trên Chromium cũng được xử lý. Các lỗ hổng được phân loại như sau:
- 27 lỗ hổng nâng cao đặc quyền (Elevation of Privilege)
- 30 lỗ hổng thực thi mã từ xa (Remote Code Execution)
- 7 lỗ hổng tiết lộ thông tin (Information Disclosure)
- 5 lỗ hổng từ chối dịch vụ (Denial of Service)
- 1 lỗ hổng giả mạo (Spoofing)
Tính cả năm 2024, Microsoft đã vá tổng cộng 1.088 lỗ hổng, theo báo cáo từ Fortra.
Lỗ hổng CLFS bị khai thác ngoài thực tế
Lỗ hổng CVE-2024-49138 (điểm CVSS: 7.8) là lỗ hổng leo thang đặc quyền trong trình điều khiển Windows Common Log File System (CLFS), được phát hiện bởi CrowdStrike. Nếu khai thác thành công, kẻ tấn công có thể chiếm quyền SYSTEM, quyền cao nhất trên Windows. Đây là lỗ hổng CLFS thứ năm bị khai thác kể từ năm 2022 và thứ chín được vá trong năm nay.
Các nhóm tội phạm mạng, đặc biệt là ransomware, thường sử dụng lỗ hổng CLFS để leo thang đặc quyền, mã hóa dữ liệu và thực hiện các cuộc tấn công tống tiền. Để giảm thiểu rủi ro, Microsoft đã tích hợp biện pháp bảo mật mới, sử dụng Hash-based Message Authentication Codes (HMAC) để phát hiện tệp nhật ký bị chỉnh sửa.
Bản vá tháng 12/2024 cũng xử lý nhiều lỗ hổng thực thi mã từ xa (RCE) với mức độ nghiêm trọng cao, bao gồm:
- CVE-2024-49112 (CVSS 9.8): Lỗ hổng trên Windows Lightweight Directory Access Protocol (LDAP), cho phép kẻ tấn công thực thi mã từ xa thông qua truy vấn LDAP được thiết kế đặc biệt.
- CVE-2024-49117 (CVSS 8.8): Lỗ hổng RCE trên Windows Hyper-V.
- CVE-2024-49105 và CVE-2024-49063 (CVSS 8.4): Lỗ hổng trên Remote Desktop Client và Microsoft Muzic.
Người dùng và doanh nghiệp được khuyến cáo:
- Cập nhật hệ thống ngay lập tức để vá các lỗ hổng nghiêm trọng.
- Bật các tính năng bảo mật mặc định như EPA.
- Giảm dần sử dụng NTLM, chuyển đổi sang giao thức Kerberos để hạn chế nguy cơ bị tấn công.
Ngoài ra, người dùng có thể theo dõi và cập nhật các bản vá mới nhất của Microsoft tại ĐÂY.
Nguồn: The Hacker News