Cập nhật bản vá lỗ hổng bảo mật tháng 11

09:05 | 08/12/2023

Trong tháng 11, Microsoft, Linux và VMWare lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 11, Microsoft đã phát hành bản vá cho 63 lỗ hổng, trong đó có 03 lỗ hổng được đánh giá mức độ nghiêm trọng, 56 lỗ hổng quan trọng và 04 lỗ hổng trung bình. Bản vá tháng này đặc biệt đáng chú ý vào 10 lỗ hổng an toàn thông tin có mức ảnh hưởng cao và nghiêm trọng sau:

Thứ nhất, lỗ hổng CVE-2023-36397 tồn tại trong Windows Pragmatic General Multicast, cho phép đối tượng tấn công không cần xác thực có thể thực thi mã từ xa.

Thứ hai, CVE-2023-36400 trong Windows HMAC Key Derivation cho phép đối tượng tấn công thực hiện leo thang đặc quyền.

Thứ ba, CVE-2023-36025 cho phép đối tượng tấn công vượt qua tính năng bảo mật SmartScreen của Windows. Lỗ hổng này hiện ghi nhận đang bị khai thác trong thực tế.

Thứ tư, CVE-2023-36038 trong ASP.NET Core cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ. Hiện thông tin chi tiết về lỗ hổng đã được công bố công khai.

Thứ năm, CVE-2023-36439 trong Microsoft Exchange Server cho phép đối tượng tấn công thực thi mã từ xa.

Thứ sáu, CVE-2023-36033 trong Windows Desktop Manager cho phép đối tượng tấn công thực hiện leo thang đặc quyền. Giống như lỗ hổng CVE-2023-36025, lỗ hổng này hiện đang bị khai thác trong thực tế.

Thứ bảy, CVE-2023-36036 trong Windows Cloud Files Mini Filter Driver cho phép đối tượng tấn công thực hiện leo thang đặc quyền, hiện đang bị khai thác trong thực tế.

Thứ tám, CVE-2023-36041 trong Microsoft Excel cho phép đối tượng tấn công thực thi mã từ xa.

Thứ chín, CVE-2023-36413 cho phép đối tượng tấn công vượt qua tính năng bảo mật của Microsoft Office. Thông tin chi tiết về lỗ hổng đã được công bố trong thực tế.

Thứ mười, CVE-2023-38177 trong Microsoft SharePoint Server cho phép đối tượng tấn công thực thi mã từ xa.

Đáng chú ý, cả CVE-2023-36033 và CVE-2023-36036 đều có thể bị kẻ tấn công khai thác để giành được các đặc quyền hệ thống, trong khi CVE-2023-36025 có thể giúp vượt qua các bước kiểm tra SmartScreen của Windows Defender và các lời nhắc liên quan của chúng.

Microsoft cho biết, người dùng sẽ phải nhấp vào một lối tắt Internet (.URL) được tạo đặc biệt hoặc một siêu liên kết trỏ đến tệp lối tắt Internet thì kẻ tấn công có thể khai thác. Tuy nhiên, nhà sản xuất Windows đã không cung cấp thêm bất kỳ hướng dẫn nào về các cơ chế tấn công được sử dụng và các tác nhân đe dọa có thể vũ khí hóa chúng. Việc khai thác tích cực các lỗ hổng leo thang đặc quyền cho thấy, chúng có thể được sử dụng cùng với lỗi thực thi mã từ xa.

Satnam Narang, kỹ sư nghiên cứu cấp cao của Tenable cho biết, đã có 12 lỗ hổng leo thang đặc quyền trong Thư viện lõi DWM trong hai năm qua, mặc dù đây là lần đầu tiên bị khai thác ngoài tự nhiên dưới dạng zero-day. Sự phát triển này đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) bổ sung thêm vấn đề vào danh mục Các lỗ hổng bị khai thác đã biết và kêu gọi các cơ quan liên bang áp dụng các bản sửa lỗi trước ngày 05/12.

Bản cập nhật tháng 11 còn bao gồm một bản vá cho CVE-2023-38545 (điểm CVSS 9,8). Đây là một lỗ hổng tràn bộ đệm dựa trên heap nghiêm trọng trong thư viện Curl được phát hiện vào tháng trước, cũng như lỗ hổng tiết lộ thông tin trong Azure CLI (CVE-2023-36052 có điểm CVSS 8,6).

Microsoft cho biết, kẻ tấn công khai thác thành công lỗ hổng này có thể khôi phục mật khẩu và tên người dùng dạng văn bản gốc từ các tệp nhật ký được tạo bởi các lệnh CLI bị ảnh hưởng và được xuất bản bởi Azure DevOps và/hoặc GitHub Actions.

Nhà nghiên cứu Aviad Hahami của Palo Alto Networks (Hoa Kỳ) - người đã báo cáo vấn đề này cho biết, lỗ hổng này có thể cho phép truy cập vào thông tin xác thực được lưu trữ trong nhật ký và cho phép kẻ tấn công có khả năng leo thang đặc quyền. Đáp lại, Microsoft phản hồi đã thực hiện các thay đổi đối với một số lệnh Azure CLI để tăng cường bảo mật cho Azure CLI (phiên bản 2.54) trước việc vô tình sử dụng có thể dẫn đến lộ bí mật.

Linux

Cũng trong tháng 11, Linux cũng đưa ra các công bố về lỗ hổng, có thể kể đến lỗ hổng CVE-2023-23583. Đây là lỗ hổng do trình tự hướng dẫn của bộ xử lý dẫn đến hành vi không mong muốn đối với một số Bộ xử lý Intel(R). Nếu khai thác thành công, lỗ hổng có thể cho phép người dùng được xác thực thực hiện leo thang đặc quyền, tiết lộ thông tin hoặc tấn công từ chối dịch vụ thông qua quyền truy cập cục bộ.

Một lỗ hổng khác là CVE-2023-5090, được tìm thấy trong KVM. Việc kiểm soát thiếu sót trong svm_set_x2apic_msr_interception() có thể cho phép truy cập trực tiếp vào máy chủ x2apic msrs khi khách đặt lại apic của máy chủ, có khả năng dẫn đến tình trạng từ chối dịch vụ.

Còn lỗ hổng CVE-2023-5482 tồn tại do việc xác thực dữ liệu không đủ trong USB trong Google Chrome trước 119.0.6045.105, cho phép kẻ tấn công từ xa thực hiện truy cập bộ nhớ vượt quyền thông qua trang HTML được tạo thủ công.

Linux đưa ra khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

VMWare

Ở một động thái khác, VMWare đã công bố cập nhật bản vá tháng 11, trong đó có 01 lỗ hổng mức độ cao tồn tại trong VMware Tools.

Có định danh CVE-2023-34060, lỗ hổng này tồn tại trong việc xác thực truy cập trên các cổng 22 và 5480 chỉ ảnh hưởng trên VCD Appliance 10.5 được cập nhật lên từ 10.4.x. Lỗ hổng cho phép đối tượng tấn công có khả năng truy cập qua các cổng trên có thể vượt qua hạn chế xác thực truy cập.