😭 Microsoft sửa 149 lỗ hổng trong bản vá lớn tháng 4, bao gồm Zero-Days | #TEKNews by TUNGTEK
Published by TUNGTEK Tùng 🌥️,
📌 Lưu trữ cho Evernote
📌 Lưu trữ cho TEKPost / TEKPost83
📌 Bài viết gốc - Link
🟢 Tuyên bố miễn trừ trách nhiệm cho nội dung. Sưu tầm và dịch không chỉnh sửa bởi Google Dịch
🆃🆄🅽🅶🆃🅴🅺 Tùng, 10.04.24
Microsoft sửa 149 lỗ hổng trong bản vá lớn tháng 4, bao gồm Zero-Days
Microsoft đã phát hành bản cập nhật bảo mật cho tháng 4 năm 2024 để khắc phục kỷ lục 149 lỗi , hai trong số đó đã bị khai thác tích cực ngoài tự nhiên.
Trong số 149 sai sót, có 3 lỗi được xếp hạng Nghiêm trọng, 142 lỗi được xếp hạng Quan trọng, 3 lỗi được xếp hạng Trung bình và một lỗi được đánh giá ở mức độ nghiêm trọng Thấp. Bản cập nhật này ngoài 21 lỗ hổng mà công ty đã giải quyết trong trình duyệt Edge dựa trên Chrome sau khi phát hành bản sửa lỗi Patch Tuesday tháng 3 năm 2024 .
Dưới đây là hai nhược điểm đã được khai thác tích cực -
- CVE-2024-26234 (điểm CVSS: 6.7) - Lỗ hổng giả mạo trình điều khiển proxy
- CVE-2024-29988 (điểm CVSS: 8.8) - Tính năng bảo mật nhắc nhở SmartScreen Bỏ qua lỗ hổng bảo mật
Mặc dù tư vấn riêng của Microsoft không cung cấp thông tin về CVE-2024-26234, nhưng công ty an ninh mạng Sophos cho biết họ đã phát hiện vào tháng 12 năm 2023 một tệp thực thi độc hại ("Catalog.exe" hoặc "Dịch vụ khách hàng xác thực danh mục") được ký bởi Nhà xuất bản tương thích phần cứng Microsoft Windows hợp lệ. ( WCP ) chứng chỉ.
Phân tích mã xác thực của tệp nhị phân đã tiết lộ nhà xuất bản yêu cầu ban đầu là Hainan YouHu Technology Co. Ltd, đây cũng là nhà xuất bản của một công cụ khác có tên LaiXi Android Screen Mirroring.
Phần mềm thứ hai được mô tả là "một phần mềm tiếp thị... [có thể] kết nối hàng trăm điện thoại di động và điều khiển chúng theo đợt, đồng thời tự động hóa các tác vụ như theo dõi hàng loạt, thích và bình luận."
Trong dịch vụ xác thực được cho là có một thành phần có tên 3proxy được thiết kế để giám sát và chặn lưu lượng mạng trên hệ thống bị nhiễm, hoạt động hiệu quả như một cửa hậu.
Nhà nghiên cứu Andreas Klopsch của Sophos cho biết : "Chúng tôi không có bằng chứng nào cho thấy các nhà phát triển LaiXi đã cố tình nhúng tệp độc hại vào sản phẩm của họ hoặc một kẻ đe dọa đã tiến hành tấn công chuỗi cung ứng để chèn nó vào quá trình biên dịch/xây dựng ứng dụng LaiXi". .
Công ty an ninh mạng cũng cho biết họ đã phát hiện ra nhiều biến thể khác của cửa sau trong thực tế kể từ ngày 5 tháng 1 năm 2023, cho thấy rằng chiến dịch này đã được tiến hành ít nhất kể từ đó. Microsoft đã thêm các tệp có liên quan vào danh sách thu hồi của mình.
Lỗ hổng bảo mật khác được cho là đang bị tấn công tích cực là CVE-2024-29988, giống như CVE-2024-21412 và CVE-2023-36025 , cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ Smartscreen của Microsoft Defender khi mở một tệp được tạo đặc biệt.
Microsoft cho biết: "Để khai thác lỗ hổng bỏ qua tính năng bảo mật này, kẻ tấn công cần thuyết phục người dùng khởi chạy các tệp độc hại bằng ứng dụng trình khởi chạy yêu cầu không hiển thị giao diện người dùng".
"Trong kịch bản tấn công qua email hoặc tin nhắn tức thời, kẻ tấn công có thể gửi cho người dùng mục tiêu một tệp được tạo đặc biệt được thiết kế để khai thác lỗ hổng thực thi mã từ xa."
Sáng kiến Zero Day tiết lộ rằng có bằng chứng về việc lỗ hổng này đang bị khai thác một cách tự nhiên, mặc dù Microsoft đã gắn thẻ nó với đánh giá "Có nhiều khả năng khai thác hơn".
Một lỗ hổng quan trọng khác là CVE-2024-29990 (điểm CVSS: 9.0), một lỗ hổng nâng cao đặc quyền ảnh hưởng đến Bộ chứa bí mật dịch vụ Microsoft Azure Kubernetes. Lỗ hổng này có thể bị kẻ tấn công không xác thực khai thác để lấy cắp thông tin xác thực.
Redmond cho biết: "Kẻ tấn công có thể truy cập vào nút AKS Kubernetes không đáng tin cậy và Bộ chứa bí mật AKS để chiếm đoạt các khách hàng và vùng chứa bí mật ngoài ngăn xếp mạng mà nó có thể bị ràng buộc".
Nhìn chung, bản phát hành này đáng chú ý vì đã giải quyết tới 68 lỗi thực thi mã từ xa, 31 lỗi leo thang đặc quyền, 26 lỗi bỏ qua tính năng bảo mật và 6 lỗi từ chối dịch vụ (DoS). Điều thú vị là 24 trong số 26 lỗ hổng bảo mật có liên quan đến Secure Boot.
Satnam Narang, nhân viên cấp cao cho biết: "Mặc dù không có lỗ hổng Secure Boot nào được xử lý trong tháng này bị khai thác ngoài tự nhiên, nhưng chúng đóng vai trò như một lời nhắc nhở rằng các lỗ hổng trong Secure Boot vẫn tồn tại và chúng ta có thể thấy nhiều hoạt động độc hại hơn liên quan đến Secure Boot trong tương lai". kỹ sư nghiên cứu tại Tenable, cho biết trong một tuyên bố.
Tiết lộ này được đưa ra khi Microsoft đang phải đối mặt với những lời chỉ trích về các hoạt động bảo mật của mình, với một báo cáo gần đây từ Ủy ban đánh giá an toàn mạng Hoa Kỳ (CSRB) chỉ trích công ty đã không làm đủ để ngăn chặn một chiến dịch gián điệp mạng do một kẻ đe dọa Trung Quốc được theo dõi là Storm dàn dựng. -0558 năm ngoái.
Nó cũng tuân theo quyết định của công ty về việc xuất bản dữ liệu nguyên nhân cốt lõi của các lỗi bảo mật bằng cách sử dụng tiêu chuẩn ngành Bảng liệt kê điểm yếu chung (CWE). Tuy nhiên, cần lưu ý rằng những thay đổi này chỉ có hiệu lực kể từ khi có khuyến cáo được công bố kể từ tháng 3 năm 2024.
Adam Barnett, kỹ sư phần mềm trưởng tại Rapid7, cho biết trong một tuyên bố được chia sẻ với The Hacker News: "Việc bổ sung các đánh giá CWE vào các tư vấn bảo mật của Microsoft giúp xác định nguyên nhân gốc rễ chung của lỗ hổng.
"Chương trình CWE gần đây đã cập nhật hướng dẫn về cách ánh xạ CVE tới Nguyên nhân gốc rễ của CWE . Phân tích xu hướng CWE có thể giúp các nhà phát triển giảm thiểu các sự cố xảy ra trong tương lai thông qua quy trình kiểm tra và quy trình kiểm tra Vòng đời Phát triển Phần mềm (SDLC) được cải tiến, cũng như giúp người bảo vệ hiểu được nơi cần chỉ đạo nỗ lực phòng thủ theo chiều sâu và tăng cường triển khai để mang lại lợi tức đầu tư tốt nhất."
Trong một diễn biến liên quan, công ty an ninh mạng Varonis đã nêu chi tiết hai phương pháp mà kẻ tấn công có thể áp dụng để phá vỡ nhật ký kiểm tra và tránh kích hoạt các sự kiện tải xuống trong khi trích xuất tệp từ SharePoint.
Cách tiếp cận đầu tiên tận dụng tính năng "Mở trong ứng dụng" của SharePoint để truy cập và tải xuống tệp, trong khi cách thứ hai sử dụng Tác nhân người dùng cho Microsoft SkyDriveSync để tải xuống tệp hoặc thậm chí toàn bộ trang web trong khi phân loại sai các sự kiện như đồng bộ hóa tệp thay vì tải xuống.
Microsoft, được biết về các vấn đề này vào tháng 11 năm 2023, vẫn chưa đưa ra bản sửa lỗi, mặc dù chúng đã được thêm vào chương trình vá lỗi tồn đọng của họ. Tạm thời, các tổ chức nên giám sát chặt chẽ nhật ký kiểm tra của mình để phát hiện các sự kiện truy cập đáng ngờ, đặc biệt là những sự kiện liên quan đến khối lượng tải xuống tệp lớn trong một khoảng thời gian ngắn.
Eric Saraga cho biết : "Những kỹ thuật này có thể vượt qua các chính sách phát hiện và thực thi của các công cụ truyền thống, chẳng hạn như công ty môi giới bảo mật truy cập đám mây, ngăn ngừa mất dữ liệu và SIEM, bằng cách ẩn các lượt tải xuống dưới dạng các sự kiện đồng bộ và truy cập ít đáng ngờ hơn" .