Update Windows để tránh các lỗ hổng mới phát hiện
Theo các cập nhật của BizFly Cloud về thông tin liên quan tới bản cập nhật định kỳ hàng tháng của Microsoft, trong đó có những lỗ hổng liên quan trực tiếp tới người dùng như lỗi RCE trên Windows DNS Server, lỗi leo thang đặc quyền trên Windows Win32k, Microsoft office, Lỗi leo thang đặc quyền trên Windows Print Spooler.
Trong đó có 2 lỗi liên quan tới các dự án là Window DNS Server và Windows Win32K (ảnh hưởng tới tất cả phiên bản windows server và windows cho người dùng).
Cụ thể như sau:
Lỗ hổng thực thi mã từ xa (RCE) trên Windows DNS Server:
Bốn lỗ hổng bảo mật nghiêm trọng có điểm số CVSS=9.8 (theo thang điểm 10) lần lượt mang mã là CVE-2021-26893, CVE-2021-26894, CVE-2021-26895 và CVE-2021-26897. Mặc dù Microsoft không cung cấp thông tin chi tiết về 04 lỗ hổng này, tuy nhiên với cách thức khai thác lỗi thực thi mã từ xa mà không cần xác thực (RCE) và với điểm số CVSS=9.8, thì đây thực sự là các lỗ hổng nghiêm trọng. Kẻ tấn công có thể lợi dụng lỗ hổng để lây lan mã độc (wormable) giữa các máy chủ sử dụng Windows DNS, làm gián đoạn hầu hết các dịch vụ của P&L có sử dụng Windows DNS, cũng như tạo điều kiện cho kẻ tấn công dễ dàng hơn trong việc tiếp cận và xâm nhập các hệ thống công nghệ thông tin quan trọng khác.
Lỗ leo thang đặc quyền (EoP) trên Windows Win32k:
Hai lỗ hổng mang mã CVE-2021-27077 và CVE-2021-26900 là những lỗ hổng leo thang đặc quyền trong thành phần win32k. Lỗ hổng xảy ra khi thành phần win32k không quản lý được các đối tượng trên bộ nhớ. Khai thác thành công lỗ hổng cho phép kẻ tấn công thực thi các lệnh tuỳ ý ở mức nhân hệ thống (kernel mode). Kẻ tấn công có thể cài đặt các phần mềm, có quyền thêm/sửa/xoá dữ liệu, tạo người dùng với quyền cao nhất. Để thực hiện được khai thác này, kẻ tấn phải đăng nhập được vào hệ thống và chạy mã khai thác. Nguy hiểm hơn lỗ hổng này thường được kết hợp với các lỗ hổng RCE khác để chiếm quyền cao hơn trên máy tính người dùng và phát tán các phần mềm độc hại. Lỗ hổng này ảnh hưởng tới tất cả phiên bản windows server và các phiên bản windows cho người dùng
Các lỗ hổng thực thi mã từ xa trên sản phẩm Microsoft Office:
Nhóm các lỗ hổng bao gồm: CVE-2021-27053 và CVE-2021-27054 (Microsoft Excel); CVE-2021-27056 (Microsoft Powerpoint); CVE-2021-27057 và CVE-2021-27059 (Microsoft Office); CVE-2021-27058 (Microsoft Office ClickToRun).
Khai thác thành công 1 trong các lỗ hổng bảo mật trên cho phép kẻ tấn công thực thi bất cứ lệnh nào với quyền của người dùng đang mở tập tin (đặc biệt nguy hiểm nếu người dùng có quyền quản trị (Administrator) trên máy tính). Lỗ hổng này thường được sử dụng trong các cuộc tấn công có chủ đích (APT) bằng cách dẫn dụ người dùng mở tập tin chứa mã khai thác được đính kèm qua Email hoặc chia sẻ trên Internet, từ đó đánh cắp thông tin nhạy cảm hoặc thực hiện các bước tấn công tiếp theo đến các hệ thống quan trọng khác.
Lỗ hổng leo thang đặc quyền trên Windows Print Spooler:
Lỗ hổng bảo mật leo thang đặc quyền mang mã CVE-2021-1640 là lỗ hổng cho phép kẻ tấn công với quyền User bình thường dễ dàng chiếm được quyền hệ thống (NT AUTHORITY\SYSTEM) bằng cách lợi dụng tính năng in ấn trên máy tính của người dùng. Điều kiện khai thác thành công lỗ hổng này là kẻ tấn công đã chiếm được quyền User trên hệ thống bằng dẫn dụ người dùng chạy mã khai thác hoặc kết hợp với một trong các lỗ hổng thực thi mã từ xa (RCE) mà không cần xác thực. Trong các chiến dịch tấn công APT thì sau khi chiếm được quyền của User trên máy tính, lỗ hổng leo thang đặc quyền dạng này sẽ được sử dụng để chiếm toàn quyền điều khiển máy tính của người dùng.
BizFly Cloud khuyến nghị:
- Người dùng Microsoft hãy thực hiện cập nhật các bản vá theo như mô tả trên.
- Trên máy tính, người dùng hãy đặt chế độ Windows Update tự động.
Link tham khảo: