Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 9

Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 9

Tác giả: [email protected]
15:49 25/09/2024

I. Các lỗ hổng bảo mật được công bố trong tháng 9

1. Microsoft

Trong tháng 9 năm 2024, Microsoft đã tung ra các bản vá lỗi cho 79 lỗ hổng, trong đó có 3 lỗ hổng đang bị khai thác tích cực và 1 lỗ hổng zero-day đã được công khai. Bản vá lỗi lần này đã khắc phục 7 lỗ hổng nghiêm trọng, bao gồm các lỗ hổng thực thi mã từ xa hoặc leo thang đặc quyền.

Số lượng lỗi trong từng loại lỗ hổng:

  • 30 lỗ hổng đặc quyền nâng cao
  • 4 lỗ hổng bảo mật bỏ qua tính năng bảo mật
  • 23 lỗ hổng thực thi mã từ xa
  • 11 lỗ hổng tiết lộ thông tin
  • 8 lỗ hổng từ chối dịch vụ
  • 3 lỗ hổng giả mạo

Trong bản vá lỗi tháng này, có bốn lỗ hổng zero-day được tiết lộ, trong đó có ba lỗ hổng đang bị khai thác, một lỗ hổng đã được công khai, và một lỗ hổng tái sử dụng các CVE cũ nên được đánh dấu là đang bị khai thác. Microsoft định nghĩa lỗ hổng zero-day là lỗ hổng đã được công khai hoặc đang bị khai thác tích cực khi chưa có bản vá chính thức.

Ba lỗ hổng zero-day đang bị khai thác tích cực trong các bản cập nhật hôm nay là:

CVE-2024-38014 - Windows Installer Elevation of Privilege Vulnerability - Lỗ hổng leo thang đặc quyền trong Windows Installer. Lỗ hổng này cho phép kẻ tấn công đạt được quyền SYSTEM trên hệ thống Windows. Microsoft chưa cung cấp chi tiết về cách thức lỗ hổng này đã bị khai thác trong các cuộc tấn công. Lỗ hổng được phát hiện bởi Michael Baer từ SEC Consult Vulnerability Lab.

CVE-2024-38217 - Windows Mark of the Web Security Feature Bypass Vulnerability - Lỗ hổng bypass tính năng bảo mật Mark of the Web của Windows. Lỗ hổng này đã được Joe Desimone từ Elastic Security công bố vào tháng trước và được cho là đã bị khai thác từ năm 2018. Trong báo cáo, Desimone đã mô tả một kỹ thuật gọi là LNK stomping, cho phép các file LNK được tạo ra đặc biệt với đường dẫn không chuẩn hoặc cấu trúc bên trong khác biệt để gây ra việc mở file mà không kích hoạt cảnh báo của Smart App Control và Mark of the Web.

"Kẻ tấn công có thể tạo ra một file độc hại để vượt qua các biện pháp phòng thủ của Mark of the Web (MOTW), dẫn đến việc làm suy giảm tính toàn vẹn và khả năng bảo vệ của các tính năng bảo mật như kiểm tra danh tiếng ứng dụng của SmartScreen và/hoặc cảnh báo bảo mật của Windows Attachment Services" Microsoft giải thích trong khuyến cáo của mình. Khi bị khai thác, nó khiến lệnh trong tệp LNK được thực thi mà không có cảnh báo.

CVE-2024-38226 - Microsoft Publisher Security Feature Bypass Vulnerability - Lỗ hổng bypass tính năng bảo mật trong Microsoft Publisher. Microsoft đã sửa một lỗ hổng trong Microsoft Publisher cho phép vượt qua các biện pháp bảo vệ chống lại macro nhúng trong các tài liệu được tải xuống. "Kẻ tấn công thành công khai thác lỗ hổng này có thể vượt qua chính sách macro của Office dùng để chặn các file không tin cậy hoặc độc hại," theo khuyến cáo của Microsoft. Microsoft không tiết lộ ai đã phát hiện lỗ hổng này và cách nó bị khai thác.

CVE-2024-43491 - Microsoft Windows Update Remote Code Execution Vulnerability - Lỗ hổng thực thi mã từ xa của Microsoft Windows Update. Microsoft đã sửa một lỗ hổng trong Servicing Stack được đánh dấu là thực thi mã từ xa, nhưng thực chất lỗ hổng này tái giới thiệu nhiều lỗ hổng trong các chương trình đã được vá trước đó.

"Microsoft nhận thức được lỗ hổng trong Servicing Stack đã đảo ngược các bản vá cho một số lỗ hổng ảnh hưởng đến các thành phần tùy chọn trên Windows 10, phiên bản 1507 (phiên bản ban đầu phát hành vào tháng 7 năm 2015)," theo giải thích trong khuyến cáo của Microsoft.

"Điều này có nghĩa là kẻ tấn công có thể khai thác những lỗ hổng đã được giảm thiểu trước đây trên các hệ thống Windows 10, phiên bản 1507 (Windows 10 Enterprise 2015 LTSB và Windows 10 IoT Enterprise 2015 LTSB) đã cài đặt bản cập nhật bảo mật Windows phát hành vào ngày 12 tháng 3 năm 2024 - KB5035858 (OS Build 10240.20526) hoặc các bản cập nhật phát hành cho đến tháng 8 năm 2024. Tất cả các phiên bản Windows 10 sau này không bị ảnh hưởng bởi lỗ hổng này."

"Lỗ hổng trong Servicing Stack này được khắc phục bằng cách cài đặt bản cập nhật Servicing Stack tháng 9 năm 2024 (SSU KB5043936) và bản cập nhật bảo mật Windows tháng 9 năm 2024 (KB5043083), theo thứ tự đó." Lỗ hổng này đặc biệt đáng chú ý vì nó đã khiến các thành phần tùy chọn, như Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS, và Windows Media Player quay trở lại phiên bản RTM ban đầu. Điều này dẫn đến việc tái giới thiệu bất kỳ CVE nào trước đây vào chương trình, và sau đó có thể bị khai thác.

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng.

Danh sách dưới đây liệt kê 5 lỗ hổng đã có bản vá trong tháng 9 được đánh giá ở mức độ nghiêm trọng:

Tag CVE ID CVE Title Severity
Azure Stack CVE-2024-38216 Azure Stack Hub Elevation of Privilege Vulnerability
Critical
Azure Stack CVE-2024-38220 Azure Stack Hub Elevation of Privilege Vulnerability Critical
Azure Web Apps CVE-2024-38194 Azure Web Apps Elevation of Privilege Vulnerability Critical
Microsoft Office SharePoint CVE-2024-43464 Microsoft SharePoint Server Remote Code Execution Vulnerability Critical
Microsoft Office SharePoint CVE-2024-38018 Microsoft SharePoint Server Remote Code Execution Vulnerability Critical
  • Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patchpaper

2. Linux

Trong tháng 9 này thì Linux cũng đưa ra các công bố về lỗ hổng, trong đó một số lỗ hổng đáng chú ý đến:

CVE-2024-8775 xác định lỗ hổng trong Ansible cho phép thông tin nhạy cảm được lưu trữ trong các tệp Ansible Vault bị lộ dưới dạng văn bản thuần túy trong quá trình thực thi playbook. Điều này xảy ra nếu tham số no_log: true không được đặt khi sử dụng các tác vụ như include_vars, dẫn đến dữ liệu nhạy cảm như mật khẩu hoặc khóa API được in trong đầu ra hoặc nhật ký. Lỗ hổng này có điểm nghiêm trọng trung bình là 5,5 và có tác động bảo mật cao do khả năng truy cập trái phép vào các bí mật. Để khắc phục sự cố này, người dùng phải đảm bảo rằng tham số no_log: true được triển khai khi tải các biến được lưu trữ. Nếu không được giải quyết, lỗ hổng này có thể dẫn đến rủi ro bảo mật đáng kể cho các tổ chức sử dụng Ansible cho các tác vụ tự động hóa.

CVE-2024-46713 - Một lỗ hổng được phân loại là có vấn đề đã được tìm thấy trong Linux Kernel lên đến 5.10.225/5.15.166/6.1.109/6.6.50/6.10.9 . Lỗ hổng này ảnh hưởng đến hàm event->mmap_mutex. Việc thao tác với đầu vào không xác định dẫn đến lỗ hổng giải tuần tự hóa. Định nghĩa CWE cho lỗ hổng này là CWE-502 . Sản phẩm giải tuần tự hóa dữ liệu không đáng tin cậy mà không xác minh đầy đủ rằng dữ liệu kết quả sẽ hợp lệ. Tác động vẫn chưa được biết.

CVE tóm tắt: "Trong hạt nhân Linux, lỗ hổng sau đã được giải quyết: perf/aux: Sửa lỗi tuần tự hóa bộ đệm AUX Ole báo cáo rằng event->mmap_mutex không đủ để tuần tự hóa bộ đệm AUX, hãy thêm một mutex per RB để tuần tự hóa hoàn toàn. Lưu ý rằng trong chú thích thứ tự khóa, thứ tự perf_event::mmap_mutex đã sai, nghĩa là việc lồng nhau dưới mmap_lock không phải là mới với bản vá này."

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

  • Chi tiết về các lỗ hổng có thể xem tại ĐÂY

3. VMware

VMware thuộc sở hữu của Broadcom đã tung ra các bản vá lỗi nghiêm trọng để khắc phục một cặp lỗ hổng trong nền tảng vCenter Server và cảnh báo rằng có nguy cơ lớn bị tấn công thực thi mã từ xa.
aaaa
  • CVE-2024-38812, được mô tả là lỗ hổng tràn bộ nhớ heap trong việc triển khai giao thức Distributed Computing Environment / Remote Procedure Call (DCERPC) trong vCenter Server. VMware cảnh báo rằng một kẻ tấn công có quyền truy cập mạng vào máy chủ có thể gửi một gói tin đặc biệt để thực thi mã từ xa. Lỗ hổng này có điểm CVSS nghiêm trọng là 9.8/10.
  • CVE-2024-38813, được mô tả là lỗ hổng leo thang đặc quyền với điểm CVSS tối đa là 7.5/10. 'Một kẻ tấn công có quyền truy cập mạng vào vCenter Server có thể khai thác lỗ hổng này để leo thang đặc quyền lên root bằng cách gửi một gói tin mạng được tạo ra đặc biệt,' theo thông báo của công ty.
Các lỗ hổng này ảnh hưởng đến các phiên bản VMware vCenter Server 7.0 và 8.0, cũng như các phiên bản VMware Cloud Foundation 4.x và 5.x. VMware đã cung cấp các phiên bản đã được sửa (vCenter Server 8.0 U3b và 7.0 U3s) và các bản vá cho người dùng Cloud Foundation. Không có biện pháp khắc phục tạm thời nào được tìm thấy cho cả hai lỗ hổng, khiến việc cập nhật bản vá là giải pháp duy nhất khả thi.
aa
FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.
a
  • Chi tiết về các bản vá có thể xem tại ĐÂY

II. Một số sự kiện an ninh mạng đáng chú ý

1. Lỗ hổng trong Windows đã bị lạm dụng thông qua các 'khoảng trắng' trong mã chữ nổi (braille) trong các cuộc tấn công zero-day

Lỗ hổng 'Windows MSHTML spoofing' vừa được sửa chữa, được theo dõi với mã CVE-2024-43461, hiện đã được đánh dấu là bị khai thác trước đây sau khi nó được nhóm tin tặc APT Void Banshee sử dụng trong các cuộc tấn công.Khi lỗ hổng này lần đầu được công bố trong bản Patch Tuesday tháng 9 năm 2024, Microsoft chưa đánh dấu nó là bị khai thác trước đó. Tuy nhiên, vào thứ Sáu, Microsoft đã cập nhật khuyến cáo CVE-2024-43461 để chỉ rõ rằng lỗ hổng này đã bị khai thác trước khi được vá.
a
Việc phát hiện lỗ hổng được ghi nhận cho Peter Girnus, một nhà nghiên cứu mối đe dọa cao cấp tại Trend Micro's Zero Day, người đã chia sẻ với BleepingComputer rằng lỗ hổng CVE-2024-43461 đã bị khai thác trong các cuộc tấn công zero-day bởi nhóm Void Banshee để cài đặt phần mềm độc hại đánh cắp thông tin.
a
Cụ thể, những kẻ tấn công đã sử dụng các tệp Windows Internet Short đặc biệt (tên tiện ích mở rộng .url), khi được nhấp vào, sẽ gọi Internet Explorer (IE) đã ngừng hoạt động để truy cập URL do kẻ tấn công kiểm soát. Các URL này được sử dụng để tải xuống tệp HTA độc hại và nhắc người dùng mở tệp đó. Khi mở ra, một tập lệnh sẽ chạy để cài đặt kẻ đánh cắp thông tin Atlantida.
Các file HTA đã sử dụng một lỗ hổng zero-day khác, được theo dõi với mã CVE-2024-43461, để ẩn phần mở rộng .hta và khiến file trông giống như một file PDF khi Windows nhắc người dùng liệu nó có nên được mở hay không, như hiển thị bên dưới.
a
Nhà nghiên cứu Peter Girnus từ ZDI cho biết lỗ hổng CVE-2024-43461 cũng đã được sử dụng trong các cuộc tấn công của Void Banshee để tạo ra điều kiện CWE-451 thông qua tên file HTA chứa 26 ký tự khoảng trắng chữ nổi mã hóa (%E2%A0%80) để ẩn phần mở rộng .hta.
Như bạn có thể thấy bên dưới, tên file bắt đầu như một file PDF, nhưng có 26 ký tự khoảng trắng chữ nổi mã hóa lặp lại (%E2%A0%80), sau đó là phần mở rộng cuối cùng .hta.
a
"Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta''
a
Khi Windows mở file này, các ký tự khoảng trắng chữ nổi đẩy phần mở rộng .hta ra ngoài giao diện người dùng, chỉ được phân tách bởi chuỗi '...' trong các thông báo của Windows. Điều này khiến các file HTA trông giống như file PDF, làm tăng khả năng chúng được mở."Khi Windows mở file này, các ký tự khoảng trắng chữ nổi đẩy phần mở rộng .hta ra ngoài giao diện người dùng, chỉ được phân tách bởi chuỗi '...' trong các thông báo của Windows. Điều này khiến các file HTA trông giống như file PDF, làm tăng khả năng chúng được mở."
a
Thật không may, cách khắc phục này không hoàn hảo vì khoảng trắng đi kèm có thể vẫn khiến mọi người nhầm lẫn rằng tệp đó là tệp PDF chứ không phải tệp HTA.
a
Microsoft đã sửa ba lỗ hổng zero-day bị khai thác tích cực khác trong Patch Tuesday tháng 9, bao gồm CVE-2024-38217, bị khai thác trong các cuộc tấn công LNK stomping để vượt qua tính năng bảo mật Mark of the Web.
a

FPT Cloud khuyến nghị các cá nhân và tổ chức sử dụng dịch vụ cần:

  • Cập nhật phiên bảo cao nhất của và sử dụng bản vá cho Windows
  • Rà soát và khắc phục các lỗ hổng tồn tại.

Thông tin chi tiết hơn xem thêm tại ĐÂY & Dịch vụ bảo mật tường lửa thế hệ mới - FPT

2. Microsoft đã khắc phục một lỗ hổng trong Windows Smart App Control và SmartScreen, lỗ hổng này đã bị khai thác trong các cuộc tấn công zero-day từ ít nhất năm 2018

Trên các hệ thống dễ bị tấn công, các tác nhân đe dọa đã lợi dụng lỗ hổng này (hiện được theo dõi với mã CVE-2024-38217) để vượt qua Smart App Control và tính năng bảo mật Mark of the Web (MotW), cho phép khởi chạy các ứng dụng hoặc tệp thực thi không đáng tin cậy hoặc có khả năng nguy hiểm mà không hiển thị cảnh báo.
a
"Để khai thác lỗ hổng này, kẻ tấn công có thể lưu trữ một tệp trên máy chủ do kẻ tấn công kiểm soát, sau đó thuyết phục người dùng mục tiêu tải xuống và mở tệp đó. Điều này có thể cho phép kẻ tấn công can thiệp vào chức năng Mark of the Web," Microsoft giải thích trong bản khuyến cáo bảo mật đã được công bố.
a
"Kẻ tấn công có thể tạo ra một tệp độc hại để vượt qua các biện pháp phòng thủ Mark of the Web (MOTW), dẫn đến mất tính toàn vẹn và tính khả dụng của các tính năng bảo mật như kiểm tra SmartScreen Application Reputation và/hoặc cảnh báo bảo mật của dịch vụ Windows Attachment Services cũ."
a
Smart App Control trong Windows 11 sử dụng các dịch vụ trí tuệ ứng dụng và tính năng kiểm tra tính toàn vẹn của mã của Microsoft để phát hiện và chặn các ứng dụng hoặc tệp thực thi có khả năng gây hại. Nó thay thế SmartScreen trong Windows 11, nhưng SmartScreen vẫn sẽ tự động hoạt động nếu Smart App Control không được bật để bảo vệ chống lại nội dung độc hại. Cả hai tính năng bảo mật này đều được kích hoạt khi người dùng cố mở các tệp được đánh dấu với nhãn 'Mark of the Web'.
a
LNK stomping liên quan đến việc tạo các tệp LNK với các đường dẫn mục tiêu hoặc cấu trúc bên trong độc đáo. Khi người dùng nhấp vào một trong những tệp này, Windows Explorer (explorer.exe) sẽ tự động điều chỉnh tệp LNK để sử dụng định dạng chuẩn của nó. Tuy nhiên, quá trình này cũng xóa nhãn "Mark of the Web" (MotW) khỏi các tệp đã tải xuống, một điểm đánh dấu mà các tính năng bảo mật của Windows sử dụng để kích hoạt kiểm tra bảo mật tự động.
a
Để khai thác lỗ hổng này, kẻ tấn công có thể thêm dấu chấm hoặc dấu cách vào đường dẫn thực thi mục tiêu (ví dụ: thêm nó vào tên nhị phân như "powershell.exe.") hoặc tạo tệp LNK có đường dẫn tương đối như ".\target. exe." Khi mục tiêu nhấp vào liên kết, Windows Explorer sẽ xác định tệp thực thi chính xác, cập nhật đường dẫn, xóa nhãn MotW và khởi chạy tệp, bỏ qua kiểm tra bảo mật.
a
Công ty đã chia sẻ những phát hiện của mình với Trung tâm phản hồi bảo mật của Microsoft, nơi đã thừa nhận vấn đề và cho biết nó "có thể được khắc phục trong bản cập nhật Windows trong tương lai".
a
FPT Cloud khuyến nghị các cá nhân và tổ chức sử dụng dịch vụ cần:
  • Sử dụng các tệp tin đáng tin cậy từ các nguồn uy tín
  • Thực hiện các quy trình backup, sao lưu dữ liệu thường xuyên theo định kì
Xem thêm tại ĐÂY.
Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 9