Thông báo update bản vá tháng 12 của Microsoft và lỗ hổng bảo mật trong Windows
Bizfly Cloud vừa thu thập được các thông tin liên quan tới việc phát hành bản vá hàng tháng của Microsoft và lỗ hổng bảo mật trong Windows cụ thể như sau:
1. Microsoft vừa phát hành bản vá hàng tháng cho các sản phẩm của Microsoft (Microsoft December 2024 Patch Tuesday)
Bản vá này bao gồm tổng cộng 71 lỗ hổng bảo mật, trong đó có 1 lỗ hổng zero-day đang bị khai thác tích cực và 16 lỗ hổng nghiêm trọng (Critical).
Trong 71 lỗ hổng được fix cũng có các lỗ hổng được đánh giá là rất nghiêm trong, những lỗ hổng này cho phép kẻ tấn công có thể leo thang đặc quyền, giả mạo và nghiêm trọng hơn là thực thi mã từ xa trên máy nạn nhân để thực hiện các cuộc tấn công mã hóa đòi tiền chuộc. Còn lại các lỗ hổng cũng được đánh giá là nghiêm trọng dựa trên mức ảnh hưởng của từng lỗ hổng. Các lỗ hổng bao gồm:
- 27 lỗ hổng leo thang đặc quyền
- 30 lỗ hổng thực thi mã từ xa
- 7 lỗ hổng lộ thông tin nhạy cảm
- 5 lỗ hổng từ chối dịch vụ
- 1 lỗ hổng giả mạo (spoofing)
Số lượng này không bao gồm 2 lỗ hổng Microsoft Edge đã được khắc phục vào đầu tháng này.
Lỗ hổng zero-day đáng chú ý:
CVE-2024-49138: Đây là lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver, cho phép kẻ tấn công đạt quyền kiểm soát cao hơn trên hệ thống. Lỗ hổng này đang bị khai thác tích cực ngoài thực tế và đã được vá trong bản cập nhật lần này.
Các lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng:
- Windows Hyper-V: CVE-2024-49117
- Windows LDAP - Lightweight Directory Access Protocol: CVE-2024-49124, CVE-2024-49112, CVE-2024-49127
- Windows Local Security Authority Subsystem Service (LSASS): CVE-2024-49126
- Windows Message Queuing: CVE-2024-49118, CVE-2024-49122
- Windows Remote Desktop và Remote Desktop Services: CVE-2024-49132, CVE-2024-49115, CVE-2024-49116, CVE-2024-49123, CVE-2024-49128, CVE-2024-49106, CVE-2024-49108, CVE-2024-49119, CVE-2024-49120
Bên cạnh đó Microsoft và các nhà cung cấp khác cũng phát hành bản vá cho các phần mềm như Microsoft Office, Microsoft Exchange Server, Adobe, Cisco...
2. Lỗ hổng Zero-day tồn tại trong Windows
Một lỗ hổng bảo mật zero-day mới được phát hiện, cho phép kẻ tấn công đánh cắp thông tin đăng nhập NTLM chỉ bằng cách khiến người dùng xem một tệp tin độc hại trong Windows Explorer, mà không cần mở tệp. Lỗi này được phát hiện bởi nhóm 0patch, nhưng Microsoft vẫn chưa phát hành bản vá chính thức.
Thông tin cụ thể:
- Các phiên bản bị ảnh hưởng:
Từ Windows 7, Windows Server 2008 R2 đến Windows 11 24H2 và Windows Server 2022.
- Cách thức tấn công:
+ Chỉ cần người dùng xem tệp độc hại trong Windows Explorer (ví dụ: mở thư mục chia sẻ, ổ USB, hoặc thư mục tải xuống có chứa tệp đó).
+ Tệp độc hại sẽ buộc Windows gửi các hàm băm NTLM của người dùng đến máy chủ của kẻ tấn công.
+ Các hàm băm này có thể bị bẻ khóa để lộ thông tin đăng nhập.
- Tình trạng xử lý:
+ Microsoft đang điều tra nhưng chưa đưa ra bản vá.
+ 0patch hiện đang cung cấp bản vá không chính thức miễn phí
Các giải pháp tạm thời:
- Dùng bản vá từ 0patch:
+ Đăng ký tài khoản miễn phí tại 0patch Central, cài đặt tác nhân và tự động áp dụng bản vá.
+ Không cần khởi động lại hệ thống.
- Vô hiệu hóa NTLM nếu không sử dụng. (Lưu ý: Vô hiệu hóa NTLM có thể làm gián đoạn mạng trong một số môi trường.)
Để bảo vệ và tránh các rủi ro, Bizfly Cloud khuyến nghị người dùng nên:
- Luôn bật chức năng Update của hệ điều hành.
- Trong quá trình Update, các anh chị tuân thủ các hướng dẫn trên màn hình (Khởi động lại máy tính, không tắt máy trong quá trình Update...)
- Hướng dẫn Update Windows và Microsoft Office trong File đính kèm
Link các phần mềm được phát hành bản vá trong tháng này của Microsoft và thông tin chi tiết về lỗ hổng Zero-day:
Bản vá: https://blog.0patch.com/
