Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 11

I. Các lỗ hổng bảo mật được công bố trong tháng 11

1. Microsoft 

Trong tháng 11 năm 2024, Microsoft công bố các bản cập nhật bảo mật cho 89 lỗ hổng, bao gồm 52 lỗ hổng thực thi mã từ xa và 4 lỗ hổng zero-days, và hai trong số đó đang bị khai thác tích cực. Bản vá này đã khắc phục bốn lỗ hổng nghiêm trọng, bao gồm hai lỗ hổng thực thi mã từ xa và hai lỗ hổng nâng cao quyền.

Số lượng lỗi trong mỗi loại lỗ hổng được liệt kê dưới đây:

• 26 lỗ hổng nâng cao quyền
• 2 lỗ hổng bỏ qua tính năng bảo mật
• 52 lỗ hổng thực thi mã từ xa
• 1 lỗ hổng rò rỉ thông tin
• 4 lỗ hổng từ chối dịch vụ
• 3 lỗ hổng giả mạo
• 4 lỗ hổng zero-days được công khai

Bản vá tháng này đã sửa bốn lỗ hổng zero-day, trong đó có hai lỗ hổng đã bị khai thác tích cực trong các cuộc tấn công và ba lỗ hổng đã được công khai.

Hai lỗ hổng zero-day bị khai thác tích cực trong các bản cập nhật hôm nay là:

• CVE-2024-43451 – NTLM Hash Disclosure Spoofing Vulnerability – Lỗ hổng Giả mạo tiết lộ NTLM Hash: Microsoft đã sửa lỗ hổng cho phép kẻ tấn công từ xa tiếp cận NTLM hash với sự tương tác tối thiểu từ tệp độc hại. "Lỗ hổng này tiết lộ NTLMv2 hash của người dùng cho kẻ tấn công, kẻ có thể dùng nó để xác thực như người dùng," Microsoft giải thích. "Chỉ cần người dùng tương tác tối thiểu với tệp độc hại như chọn (nhấp chuột một lần), kiểm tra (nhấp chuột phải), hoặc thực hiện hành động khác ngoài việc mở hoặc chạy, lỗ hổng có thể bị kích hoạt," Microsoft bổ sung. Microsoft cho biết Israel Yeshurun từ ClearSky Cyber Security đã phát hiện lỗ hổng này và nó đã được công khai, nhưng không tiết lộ thêm chi tiết.
• CVE-2024-49039 – Windows Task Scheduler Elevation of Privilege Vulnerability – Lỗ hổng Nâng cao Quyền hạn của Windows Task Scheduler: Một ứng dụng được tạo đặc biệt có thể được thực thi để nâng quyền lên mức Độ toàn vẹn Trung bình. "Trong trường hợp này, một cuộc tấn công thành công có thể được thực hiện từ AppContainer có quyền thấp. Kẻ tấn công có thể nâng quyền và thực thi mã hoặc truy cập tài nguyên ở mức toàn vẹn cao hơn so với môi trường thực thi của AppContainer," Microsoft giải thích. Microsoft cho biết việc khai thác lỗ hổng này cho phép kẻ tấn công thực hiện các chức năng RPC vốn bị giới hạn cho các tài khoản có quyền cao. Lỗ hổng này được phát hiện bởi Vlad Stolyarov và Bahare Sabouri từ Nhóm Phân tích Mối đe dọa của Google.

Ba lỗ hổng đã được công khai nhưng chưa bị khai thác trong các cuộc tấn công là:

• CVE-2024-49040 – Microsoft Exchange Server Spoofing Vulnerability – Lỗ hổng Giả mạo của Microsoft Exchange Server: Microsoft đã khắc phục lỗ hổng cho phép kẻ tấn công giả mạo địa chỉ email người gửi trong các email gửi đến người nhận nội bộ. Microsoft giải thích rằng "Lỗ hổng là do việc thực thi xác minh tiêu đề P2 FROM hiện tại, xảy ra trong quá trình chuyển phát." Từ bản cập nhật bảo mật Microsoft Exchange tháng này, Microsoft sẽ phát hiện và đánh dấu các email giả mạo với cảnh báo được đính kèm vào nội dung email. Lỗ hổng được phát hiện bởi Slonser từ Solidlab, người đã công khai lỗ hổng trong một bài viết.
• CVE-2024-49019 – Active Directory Certificate Services Elevation of Privilege Vulnerability – Lỗ hổng Nâng cao Quyền hạn của Active Directory Certificate Services: Microsoft đã sửa lỗ hổng cho phép kẻ tấn công có thể đạt được quyền quản trị viên miền bằng cách lạm dụng các mẫu chứng chỉ phiên bản 1 mặc định. Microsoft giải thích: "Kiểm tra xem bạn có xuất bản chứng chỉ nào sử dụng mẫu chứng chỉ phiên bản 1 không, với Tên nguồn đặt là 'Supplied in the request' và quyền Enroll được cấp cho nhiều tài khoản hơn như domain users hay domain computers." Lỗ hổng này được phát hiện bởi Lou Scicchitano, Scot Berner, và Justin Bollinger từ TrustedSec, những người đã công khai lỗ hổng "EKUwu" vào tháng Mười.
• CVE-2024-43451: Như đã giải thích ở trên, lỗ hổng này cũng đã được công khai.

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng. 

Danh sách dưới đây liệt kê 4 lỗ hổng đã có bản vá trong tháng 11 được đánh giá ở mức độ nghiêm trọng:

• Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch & paper.

2. Linux

Linux cũng công bố các lỗ hổng đáng chú ý trong tháng 11:

• CVE-2024-50261 – Bản vá Kernel Linux: Khắc phục Lỗ hổng Use-After-Free trong macsec

Lỗ hổng nghiêm trọng này được phát hiện trong Linux Kernel đến phiên bản 6.1.115/6.6.59/6.11.6. Vấn đề là lỗi "use-after-free" trong khu vực macsec khi gửi các gói đã được tải bớt. metadata_dst, giữ giá trị SCI cho macsec offload, đã bị giải phóng bởi metadata_dst_free() trong macsec_free_netdev(), trong khi trình điều khiển vẫn cố gắng sử dụng nó để gửi các gói tin. Để khắc phục vấn đề này, dst_free() hiện được sử dụng thay thế, vì vậy metadata_dst không bị giải phóng ngay lập tức trong macsec_free_netdev() nếu nó vẫn đang được sử dụng bởi skb. Thay đổi này giải quyết vấn đề được báo cáo bởi KASAN.

• CVE-2024-50262 – Bản vá Kernel Linux: Khắc phục Lỗ hổng Ghi Ngoài Biên trong BPF Trie

Một lỗ hổng nghiêm trọng, CVE-2024-50262, đã được phát hiện trong Linux Kernel đến phiên bản 6.11.6, ảnh hưởng đến hàm trie_get_next_key trong thành phần BPF. Lỗ hổng này là lỗi ghi ngoài biên (out-of-bounds write), được phân loại theo CWE là CWE-787. Vấn đề xảy ra khi sản phẩm ghi dữ liệu vượt quá hoặc trước vùng đệm dự định, gây ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống.

Hàm trie_get_next_key() cấp phát một ngăn xếp node với kích thước trie->max_prefixlen nhưng ghi đến (trie->max_prefixlen + 1) node khi có các đường dẫn đầy đủ từ gốc đến lá. Ví dụ, với max_prefixlen là 8, và các khóa 0x00/0, 0x00/1, 0x00/2,... 0x00/8 đã được chèn, việc gọi trie_get_next_key với .prefixlen = 8 sẽ ghi 9 node vào ngăn xếp chỉ có kích thước 8.

• CVE-2024-50263 - Bản vá Kernel Linux: Khắc phục Lỗi Kích Hoạt Hook Không Đúng trong Quá Trình Fork

Lỗ hổng này liên quan đến quá trình sao chép bộ nhớ khi thực hiện thao tác fork (tạo bản sao tiến trình). Trước đó, các hook của khugepaged và KSM (các công cụ tối ưu hóa bộ nhớ) được kích hoạt quá sớm, khi trạng thái bộ nhớ (mm) chưa hoàn chỉnh, có thể gây ra sự không nhất quán trong dữ liệu. Tuy nhiên, trong trường hợp thiếu bộ nhớ nghiêm trọng (OOM), việc kích hoạt các hook này sớm cũng không đảm bảo tính ổn định. Điểm CVSS v3 cho thấy tác động cao về khả dụng, với điểm là 5.5, xếp vào loại lỗ hổng mức độ trung bình. Để giảm rủi ro, bản cập nhật đã điều chỉnh chỉ kích hoạt các hook này sau khi thao tác fork thành công và không có lỗi, giúp cải thiện độ an toàn và hiệu suất trong quản lý bộ nhớ mà không ảnh hưởng đến hoạt động hệ thống.

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

• Chi tiết về các lỗ hổng có thể xem tại ĐÂY

3. VMWare

• VMware công bố lỗ hổng SQL Injection trong VMware HCX (CVE-2024-38814)

VMware đã phát hành bản vá cho một lỗ hổng SQL injection có xác thực trong VMware HCX, một phần mềm quản lý hạ tầng ảo hóa, được xếp hạng điểm CVSS là 8.8. Lỗ hổng này cho phép một người dùng đã xác thực nhưng không có quyền quản trị có thể nhập các truy vấn SQL được tạo đặc biệt để thực thi mã từ xa không được phép trên HCX Manager. Điều này có thể dẫn đến việc chiếm quyền kiểm soát hệ thống hoặc xâm phạm dữ liệu quan trọng.

Lỗ hổng ảnh hưởng đến các phiên bản 4.8.x, 4.9.x, và 4.10.x của VMware HCX. VMware đã phát hành các bản vá cho từng phiên bản để khắc phục vấn đề này. Các bản vá này sẽ ngăn chặn việc khai thác lỗ hổng và bảo vệ sự an toàn cho dữ liệu và hoạt động của hệ thống.

• VMware câp nhật bản vá cho lỗ hổng make-me-root từ xa trong vCenter Server, Cloud Foundation:

CVE-2024-38812 và CVE-2024-38813 là hai lỗ hổng bảo mật nghiêm trọng trong VMware vCenter Server, được phát hiện và vá lần đầu vào tháng 9, nhưng sau đó VMware phải phát hành bản vá thứ hai vì bản vá đầu tiên không khắc phục triệt để vấn đề.

CVE-2024-38812 là lỗ hổng tràn heap trong giao thức mạng, có thể bị khai thác từ xa mà không cần người dùng tương tác, cho phép kẻ tấn công thực thi mã từ xa (RCE), với điểm CVSS là 9.8. CVE-2024-38813 là lỗ hổng leo thang đặc quyền, cho phép kẻ tấn công gửi gói dữ liệu đặc biệt để nâng quyền lên root, với điểm CVSS là 7.5.

Các bản vá đã có sẵn cho vCenter Server phiên bản 8.0 U3d và 7.0 U3t, cũng như các bản vá không đồng bộ cho VMware Cloud Foundation. VMware cũng cung cấp tài liệu FAQ bổ sung để hỗ trợ người dùng.

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

• Chi tiết về các bản vá có thể xem tại ĐÂY

1. Kỹ Thuật Tấn Công "Sitting Ducks": Cảnh Báo Nguy Cơ Chiếm Dụng Tên Miền Cho Lừa Đảo và Phishing

Nhiều tác nhân đe dọa đã lợi dụng kỹ thuật tấn công được gọi là Sitting Ducks để chiếm đoạt các tên miền hợp pháp nhằm sử dụng chúng trong các cuộc tấn công lừa đảo và các hoạt động gian lận đầu tư trong nhiều năm.

Theo báo cáo từ Infoblox, công ty đã xác định được gần 800.000 tên miền đăng ký có nguy cơ bị tấn công trong ba tháng qua, trong đó khoảng 9% (tương đương 70.000) đã bị chiếm đoạt.

"Những tên miền bị tấn công bao gồm các thương hiệu nổi tiếng, tổ chức phi lợi nhuận, và các cơ quan chính phủ," báo cáo từ Infoblox chia sẻ trên The Hacker News. Mặc dù kỹ thuật này đã được nhà nghiên cứu bảo mật Matthew Bryant phát hiện vào năm 2016, nhưng đến tháng 8 vừa qua, quy mô của các cuộc tấn công mới được tiết lộ rộng rãi.

Kỹ thuật tấn công Sitting Ducks cho phép tin tặc kiểm soát tên miền thông qua các cấu hình sai trong hệ thống tên miền (DNS), đặc biệt khi tên miền chỉ định dịch vụ DNS cho nhà cung cấp khác nhưng phân quyền không hiệu quả. Điều này cho phép tin tặc "chiếm" tên miền và thiết lập các bản ghi DNS mà không cần truy cập tài khoản chủ sở hữu hợp pháp.

Các tên miền bị chiếm đoạt:

Tấn công Sitting Ducks khá dễ thực hiện và khó phát hiện do các tên miền bị tấn công thường có uy tín cao, khó bị công cụ bảo mật đánh dấu là độc hại. Các tên miền bị chiếm đoạt bao gồm công ty giải trí, nhà cung cấp IPTV, công ty luật, nhà cung cấp y tế, cửa hàng thời trang trực tuyến ở Thái Lan, và nhiều công ty bán lốp xe.

Một yếu tố phổ biến trong các cuộc tấn công này là chiếm đoạt luân phiên, trong đó một tên miền có thể bị chiếm bởi nhiều nhóm tấn công khác nhau qua thời gian. Các tác nhân đe dọa thường sử dụng các nhà cung cấp DNS miễn phí như DNS Made Easy để chiếm quyền tạm thời, sau đó để tên miền đó bị "mất" và bị chiếm đoạt lại bởi tác nhân khác.

Một số nhóm tác nhân sử dụng kỹ thuật Sitting Ducks bao gồm:

• Vacant Viper: Vận hành mạng lưới 404 TDS, gửi thư rác độc hại, phát tán phần mềm độc hại như DarkGate và AsyncRAT (Hoạt động từ năm 2019)
• Horrid Hawk: Sử dụng các tên miền chiếm đoạt để phát tán quảng cáo lừa đảo trên Facebook (Hoạt động từ tháng 2 năm 2023)
• Hasty Hawk: Tiến hành các cuộc tấn công lừa đảo giả mạo trang vận chuyển DHL và trang quyên góp giả mạo cho Ukraine (Hoạt động từ tháng 3 năm 2022)
• VexTrio Viper: Hoạt động mạng lưới TDS riêng, phát tán các chiến dịch thuốc giả, cờ bạc và hẹn hò trực tuyến (Hoạt động từ đầu năm 2020)

Hệ quả và rủi ro: Các tác nhân đe dọa sử dụng tên miền chiếm đoạt để gửi thư rác, đánh cắp thông tin xác thực, và thực hiện các gian lận trực tuyến. Các tên miền này thường có uy tín cao và không dễ dàng bị phát hiện bởi các công cụ bảo mật, tạo điều kiện thuận lợi cho các tác nhân xấu phát tán mã độc và thực hiện lừa đảo mà không bị xử lý.

• Thông tin chi tiết hơn xem thêm tại ĐÂY

Sao lưu dữ liệu của doanh nghiệp ngay hôm nay để đối phó với các cuộc tấn công mạng nguy hiểm.

2. Google Cảnh Báo Sự Gia Tăng của Lừa Đảo Bằng AI, Che Giấu Nội Dung và Các Chiêu Trò Đầu Tư Tiền Ảo

Google cảnh báo về sự gia tăng của các trò lừa đảo sử dụng kỹ thuật cloaking, AI và tiền điện tử để đánh lừa người dùng.

Cloaking, được dùng để qua mặt hệ thống kiểm duyệt, cho phép tin tặc chuyển hướng người dùng đến các trang đích giả mạo các trang web uy tín. Những trang này thường tạo cảm giác cấp bách, lôi kéo người dùng mua các sản phẩm không thực hoặc hàng giả. Các trang cloaking này cũng có thể chuyển hướng người dùng đến các trang scareware, dọa thiết bị của họ nhiễm malware và dẫn dụ họ đến các trang hỗ trợ giả, nhằm đánh cắp thông tin nhạy cảm.

Một số thủ đoạn khác bao gồm:

• Sử dụng công nghệ AI tạo deepfake mạo danh các nhân vật công chúng để lừa đảo đầu tư.
• Dùng các trang app giả mạo để dẫn dắt người dùng tải phần mềm độc hại, đánh cắp thông tin hoặc lừa đảo mua sắm.
• Tận dụng các sự kiện lớn kết hợp AI để bán các sản phẩm hoặc dịch vụ không có thực.

Google cho biết sẽ cung cấp báo cáo về các hình thức lừa đảo trực tuyến mỗi sáu tháng nhằm nâng cao nhận thức của người dùng.

Nhiều trò lừa đảo tiền điện tử, như "pig butchering", xuất phát từ Đông Nam Á và do các tổ chức tội phạm từ Trung Quốc điều hành, dụ dỗ người dân với lời hứa công việc lương cao nhưng thực chất là làm việc trong các "nhà máy lừa đảo" tại Myanmar, Campuchia, Lào, Malaysia và Philippines. Một báo cáo của Liên Hợp Quốc gần đây cho thấy các băng nhóm tội phạm đang kết hợp các mô hình dịch vụ mới với AI và các công nghệ khác để tăng hiệu quả trong các hoạt động lừa đảo trực tuyến và rửa tiền.

Tháng 4 vừa qua, Google đã kiện hai nhà phát triển ứng dụng tại Hồng Kông và Thâm Quyến vì phát hành các ứng dụng Android giả mạo để lừa đảo đầu tư. Cuối tháng trước, cùng với Amazon, Google kiện một trang web tên Bigboostup.com vì bán và đăng các đánh giá giả trên Amazon và Google Maps.

Google cũng đã hợp tác với Global Anti-Scam Alliance (GASA) và DNS Research Federation (DNS RF) để chống lại các trò lừa đảo trực tuyến. Năm 2023, Google đã chặn hơn 5,5 tỷ quảng cáo vi phạm chính sách và triển khai công nghệ AI Gemini Nano trong ứng dụng Phone trên Android để phát hiện cuộc gọi lừa đảo, cảnh báo người dùng khi nhận cuộc gọi nghi ngờ.

Ngoài ra, Google Play Protect hiện cũng có tính năng cảnh báo thời gian thực với các ứng dụng có thể chứa phần mềm gián điệp, giúp bảo vệ người dùng khỏi các ứng dụng độc hại.