Bản tin bảo mật tháng 11/2023

Microsoft công bố các bản vá cho các lỗ hổng bao gồm 52 lỗ hổng, trong đó tồn tại 5 lỗ hổng zero-day và 3 lỗ hổng mức độ critical trong tháng 11

👉 Trong tháng 11 của 2023 Microsoft đã tung ra các bản vá lỗi cho 152 lỗ hổng trong đó có 3 lỗ hổng được đánh giá ở mức độ nghiêm trọng vì chúng cho phép thực thi mã từ xa, tấn công từ chối dịch vụ, và 5 bản vá cho các lỗ hổng zero-day. Một số lỗ hổng đáng được lưu ý:

CVE-2023-36036 - Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability – Microsoft thực hiện vá lỗ hổng khai thác leo thang đặc quyền trong Windows Cloud Files Mini Filter Driver cho phép kẻ tấn công leo lên quyền SYSTEM trong thiết bị chịu ảnh hưởng của lỗ hổng

CVE-2023-36033 - Windows DWM Core Library Elevation of Privilege Vulnerability – Microsoft đã phát hành bản cập nhật khắc phục lỗ hổng khai thác được công khai ở Windows DWM Core Library cho phép kẻ tấn công chiếm quyền admin trong thiết bị chịu ảnh hưởng

CVE-2023-36025 - Windows SmartScreen Security Feature Bypass Vulnerability - Bản vá được đưa ra cho lỗ hổng khai thác Windows SmartScreen cho phép Internet Shortcut độc hại có thể bỏ qua kiểm soát và cảnh báo bảo mật bằng cách lừa người dùng truy cập vào các shortcut web app hoặc link tài liệu online như docx, xlsx... được chỉnh sửa bởi attacker

CVE-2023-36413 - Microsoft Office Security Feature Bypass Vulnerability – Microsoft đã phát hành bản cập nhật chưa được ghi nhận thực hiện khai thác cho phép kẻ tấn công gửi file độc hại cho người dùng và khi họ mở file đó lên, nó có thể bypass qua chế độ đọc bảo mật để vào trực tiếp chế độ chỉnh sửa cho phép thực thi mã độc

CVE-2023-36038 - ASP.NET Core Denial of Service Vulnerability – Microsoft đã phát hành bản cập nhật vá lỗi cho phép thực thi DoS lên mục tiêu nếu mục tiêu gửi http requests đến .NET 8 RC 1 chạy trên mô hình lưu trữ IIS InProces bị huỷ bỏ từ đó dẫn đến số lượng luồng tăng lên từ đó cho phép OutOfMemoryException xảy ra

📝 Khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên nâng cấp ngay các bản vá mới nhất để tránh bị nhắm tới trong các cuộc tấn công mạng

Danh sách dưới đây liệt kê 3 lỗ hổng đã có bản vá trong tháng 11 được đánh giá ở mức độ nghiêm trọng.

🔗 Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch , Paper

Linux công bố các lỗ hổng trong tháng 11

👉 Trong tháng 11 này thì Linux cũng đưa ra các công bố về lỗ hổng, trong đó một lỗ hổng đáng chú ý đến:

CVE-2023-23583 - Lỗ hổng do trình tự hướng dẫn của bộ xử lý dẫn đến hành vi không mong muốn đối với một số Bộ xử lý Intel(R) có thể cho phép người dùng được xác thực có khả năng kích hoạt leo thang đặc quyền và/hoặc tiết lộ thông tin và/hoặc từ chối dịch vụ thông qua quyền truy cập cục bộ.

CVE-2023-5090 - Một lỗ hổng đã được tìm thấy trong KVM. Việc kiểm soát thiếu sót trong svm_set_x2apic_msr_interception() có thể cho phép truy cập trực tiếp vào máy chủ x2apic msrs khi khách đặt lại apic của máy chủ, có khả năng dẫn đến tình trạng từ chối dịch vụ.

CVE-2023-5482 - Xác thực dữ liệu không đủ trong USB trong Google Chrome trước 119.0.6045.105 cho phép kẻ tấn công từ xa thực hiện truy cập bộ nhớ vượt quyền thông qua trang HTML được tạo thủ công.

📝 Khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất

🔗 Chi tiết về các lỗ hổng có thể xem tại Advisories

VMWare công bố các lỗ hổng trong tháng 11

👉 Có 1 lỗ hổng mức độ cao tồn tại trong VMware Tools được VMWare công bố và cập nhật bản vá trong tháng 11 này gồm có:

CVE-2023-34060: Lỗ hổng Tồn tại trong xác thực truy cập trên các port 22 (SSH) và 5480 (Bảng quản trị truy cập) chỉ ảnh hưởng trên VCD Appliance 10.5 được update lên từ 10.4.x cho phép kẻ tấn công với khả năng truy cập qua các port này có thể vượt qua hạn chế xác thực truy cập.

📝 Khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất

🔗 Chi tiết về các bản vá có thể xem tại Advisories

Một số sự kiện an ninh mạng đáng chú ý.

Nhà cung cấp dược phẩm Truepill lộ lọt dữ liệu ảnh hưởng đến 2,3 triệu khách hàng

👉 Postmeds, hoạt động kinh doanh với tên gọi 'Truepill', đang gửi thông báo về dữ liệu bị lộ thông báo cho khách hàng rằng các tác nhân đe dọa đã truy cập thông tin cá nhân nhạy cảm của họ.

👉 Truepill là một nền tảng dược phẩm tập trung vào B2B sử dụng API cho các dịch vụ thực hiện và giao hàng cho các thương hiệu trực tiếp đến người tiêu dùng (D2C), các công ty y tế kỹ thuật số và các tổ chức chăm sóc sức khỏe khác trên tất cả 50 tiểu bang ở Hoa Kỳ.

👉 Về số lượng cá nhân bị ảnh hưởng, theo Văn phòng Dân quyền của Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ, sự cố xảy ra ảnh hưởng đến 2.364.359 người.

👉 Công văn thông báo rằng công ty đã phát hiện truy cập mạng trái phép vào ngày 31/8/2023. Cuộc điều tra về vụ việc cho thấy những kẻ tấn công đã có được quyền truy cập một ngày trước đó.

👉 Một số người nhận được thông báo vi phạm dữ liệu có phần bối rối, tuyên bố rằng họ chưa bao giờ nghe nói về công ty và không chắc chắn làm thế nào dữ liệu của họ đến được Truepill. Tác động sâu rộng của vụ việc có thể dẫn đến hậu quả pháp lý khi nhiều vụ kiện tập thể đang được chuẩn bị trên toàn quốc, lập luận rằng vi phạm sẽ được ngăn chặn nếu Postmeds duy trì lập trường bảo mật tốt hơn tương thích với các hướng dẫn của ngành.

📝 Khuyến nghị các cá nhân và tổ chức sử dụng dịch vụ cần:

• Tránh tiết lộ thông tin cho các đơn vị, tổ chức không đáng tin cậy
• Thực hiện các biện pháp bảo mật cần thiết như mã hoá đối với cơ sở dữ liệu

🔗 Thông tin chi tiết hơn xem thêm tại đây, Dịch vụ bảo mật tường lửa thế hệ mới - FPT

Ngân hàng thương mại lớn nhất thế giới ICBC xác nhận tấn công ransomware

👉 Vào 06:49 EST, 10/11/2023: Ngân hàng Công thương Trung Quốc xác nhận các dịch vụ của họ đã bị gián đoạn bởi một cuộc tấn công ransomware ảnh hưởng đến hệ thống của họ vào thứ Tư, ngày 8 tháng 11.

👉 "Dịch vụ Tài chính ICBC (FS) đã trải qua một cuộc tấn công ransomware dẫn đến gián đoạn một số hệ thống FS. Ngay sau khi phát hiện ra sự cố, ICBC FS đã ngắt kết nối và cách ly các hệ thống bị ảnh hưởng để ngăn chặn sự cố", ngân hàng cho biết.

👉 ICBC nói thêm rằng hệ thống kinh doanh và email của họ hoạt động độc lập từ Tập đoàn ICBC và vụ việc không ảnh hưởng đến hệ thống của Chi nhánh ICBC New York, Trụ sở chính ICBC và các tổ chức liên kết khác trong và ngoài nước.

👉 Chuyên gia bảo mật Kevin Beaumont cho biết một máy chủ ICBC Citrix được nhìn thấy trực tuyến lần cuối vào thứ Hai ngày 6 tháng 11 và chưa được vá lỗi bảo mật NetScaler được khai thác tích cực được theo dõi là 'Citrix Bleed' hiện đang ngoại tuyến. Lỗ hổng cho phép bỏ qua hoàn toàn, dễ dàng tất cả các hình thức xác thực và đang bị khai thác bởi các nhóm ransomware.

📝 Khuyến cáo các cá nhân hoặc tổ chức thực hiện các biện pháp:

• Quản lý, kiểm soát và đảm bảo các file, tài liệu được chuyển từ ngoài internet vào nội bộ cá nhân hoặc tổ chức bao gồm cả về con người lẫn dịch vụ.
• Thực hiện các biện pháp backup dự trù nhằm đề phòng rủi ro

🔗 Nhấp vào đường dẫn để xem chi tiết hơn: new, Dịch vụ sao lưu dữ liệu đám mây - FPT Cloud: Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu.

Tin tặc Hà Lan bị bỏ tù vì tống tiền, bán dữ liệu bị đánh cắp trên RaidForums

👉 Một cựu chuyên gia an ninh mạng người Hà Lan đã bị kết án bốn năm tù sau khi bị kết tội hack và tống tiền hơn một chục công ty ở Hà Lan và trên toàn thế giới.

👉 Xác định thủ phạm là một người đàn ông 21 tuổi đến từ Zandvoort tên là Pepijn Van der Stap, đã bị kết án về nhiều tội danh, bao gồm hack vào máy tính của nạn nhân, tống tiền và rửa ít nhất 2,5 triệu euro tiền điện tử.

👉 Van der Stap đã cùng với các đồng phạm của mình tham gia vào một loạt tội phạm mạng nhắm vào cả các công ty và tổ chức trong nước và quốc tế từ tháng 8/2020 đến tháng 1/2023, theo lời Cơ quan Công tố Hà Lan. Nhóm này đã dùng đến biện pháp blackmail hay một phương thức đe doạ nhằm tống tiền từ các công ty bị nhắm mục tiêu, đe dọa rò rỉ dữ liệu bị đánh cắp trực tuyến trừ khi trả tiền chuộc. Ngoài ra, Van der Stap đã xâm nhập vào nhiều mạng khác nhau, đánh cắp dữ liệu nhạy cảm từ các công ty và tổ chức bị xâm nhập.

👉 Van der Stap đã từng làm việc cho Hadrian Security và tình nguyện viên tại Viện Tiết lộ Lỗ hổng Hà Lan (DIVD), theo báo cáo đầu tiên của DataBreaches.net.

📝 Khuyến cáo các cá nhân hoặc tổ chức:

• Thực hiện đúng các quy tắc và đạo đức an ninh mạng
• Thực hiện tăng cường các biện pháp bảo mật đối với hệ thống

🔗 Nhấp vào đường dẫn để xem chi tiết hơn: new