Microsoft sửa 72 lỗi, bao gồm bản vá cho lỗ hổng CLFS đang bị khai thác tích cực
Microsoft sửa 72 lỗi, bao gồm bản vá cho lỗ hổng CLFS đang bị khai thác tích cực
Microsoft đã kết thúc bản cập nhật Patch Tuesday năm 2024 với các bản sửa lỗi cho tổng cộng 72 lỗ hổng bảo mật trong danh mục phần mềm của mình, bao gồm một lỗ hổng mà công ty cho biết đã bị khai thác ngoài thực tế.
Trong số 72 lỗ hổng, 17 lỗ hổng được đánh giá là Nghiêm trọng, 54 lỗ hổng được đánh giá là Quan trọng và một lỗ hổng được đánh giá là Trung bình về mức độ nghiêm trọng. Ba mươi mốt lỗ hổng là lỗ hổng thực thi mã từ xa và 27 lỗ hổng trong số đó cho phép nâng cao đặc quyền.
Đây là bản bổ sung cho 13 lỗ hổng mà công ty đã giải quyết trong trình duyệt Edge dựa trên Chromium của mình kể từ khi phát hành bản cập nhật bảo mật vào tháng trước. Tổng cộng, Microsoft đã giải quyết tới 1.088 lỗ hổng chỉ riêng trong năm 2024, theo Fortra.
Lỗ hổng mà Microsoft thừa nhận đã bị khai thác tích cực là CVE-2024-49138 (điểm CVSS: 7,8), một lỗ hổng leo thang đặc quyền trong Trình điều khiển Hệ thống tệp nhật ký chung (CLFS) của Windows.
"Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được đặc quyền HỆ THỐNG", công ty cho biết trong một thông báo, ghi nhận công ty an ninh mạng CrowdStrike đã phát hiện và báo cáo lỗ hổng.
Cần lưu ý rằng CVE-2024-49138 là lỗ hổng leo thang đặc quyền CLFS thứ năm được khai thác tích cực kể từ năm 2022 sau CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 và CVE-2023-28252 (điểm CVSS: 7,8). Đây cũng là lỗ hổng thứ chín trong cùng một thành phần được vá trong năm nay.
"Mặc dù chi tiết khai thác ngoài thực tế vẫn chưa được biết, nhưng khi nhìn lại lịch sử các lỗ hổng trình điều khiển CLFS, điều thú vị cần lưu ý là các nhà điều hành ransomware đã phát triển sở thích khai thác các lỗ hổng nâng cao đặc quyền CLFS trong vài năm qua", Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable, cho biết với The Hacker News.
"Không giống như các nhóm đe dọa dai dẳng tiên tiến thường tập trung vào độ chính xác và tính kiên nhẫn, các nhà điều hành ransomware và các chi nhánh tập trung vào các chiến thuật đập phá và cướp bóc bằng mọi cách cần thiết. Bằng cách sử dụng các lỗ hổng nâng cao đặc quyền như lỗ hổng này trong CLFS, các chi nhánh ransomware có thể di chuyển qua một mạng nhất định để đánh cắp và mã hóa dữ liệu và bắt đầu tống tiền nạn nhân của chúng".
Microsoft đã không bỏ qua thực tế là CLFS đã trở thành một con đường tấn công hấp dẫn đối với các tác nhân độc hại, công ty này cho biết họ đang nỗ lực thêm một bước xác minh mới khi phân tích các tệp nhật ký như vậy.
"Thay vì cố gắng xác thực các giá trị riêng lẻ trong cấu trúc dữ liệu tệp nhật ký, biện pháp giảm thiểu bảo mật này cung cấp cho CLFS khả năng phát hiện khi tệp nhật ký bị sửa đổi bởi bất kỳ thứ gì ngoài trình điều khiển CLFS", Microsoft lưu ý vào cuối tháng 8 năm 2024. "Điều này đã được thực hiện bằng cách thêm Mã xác thực tin nhắn dựa trên băm (HMAC) vào cuối tệp nhật ký".
Cơ quan an ninh mạng và cơ sở hạ tầng Hoa Kỳ (CISA) kể từ đó đã thêm lỗ hổng vào danh mục Lỗ hổng khai thác đã biết (KEV) của mình, yêu cầu các cơ quan thuộc Chi nhánh hành pháp dân sự liên bang (FCEB) áp dụng các biện pháp khắc phục cần thiết trước ngày 31 tháng 12 năm 2024.
Lỗi có mức độ nghiêm trọng cao nhất trong bản phát hành của tháng này là lỗ hổng thực thi mã từ xa ảnh hưởng đến Giao thức truy cập thư mục nhẹ của Windows (LDAP). Lỗi này được theo dõi là CVE-2024-49112 (điểm CVSS: 9,8).
"Kẻ tấn công chưa xác thực đã khai thác thành công lỗ hổng này có thể thực thi mã thông qua một tập hợp các lệnh gọi LDAP được thiết kế đặc biệt để thực thi mã tùy ý trong bối cảnh của dịch vụ LDAP", Microsoft cho biết.
Ngoài ra, cần lưu ý ba lỗ hổng thực thi mã từ xa khác ảnh hưởng đến Windows Hyper-V (CVE-2024-49117, điểm CVSS: 8,8), Remote Desktop Client (CVE-2024-49105, điểm CVSS: 8,4) và Microsoft Muzic (CVE-2024-49063, điểm CVSS: 8,4).
Sự phát triển này diễn ra khi 0patch phát hành các bản sửa lỗi không chính thức cho lỗ hổng zero-day của Windows cho phép kẻ tấn công chiếm được thông tin đăng nhập NT LAN Manager (NTLM). Các chi tiết bổ sung về lỗ hổng đã được giữ lại cho đến khi bản vá chính thức có sẵn.
"Lỗ hổng bảo mật này cho phép kẻ tấn công lấy được thông tin xác thực NTLM của người dùng chỉ bằng cách yêu cầu người dùng xem tệp độc hại trong Windows Explorer – ví dụ: bằng cách mở thư mục dùng chung hoặc ổ USB có tệp đó hoặc xem thư mục Tải xuống nơi tệp đó trước đó đã được tự động tải xuống từ trang web của kẻ tấn công", Mitja Kolsek cho biết.
Vào cuối tháng 10, các bản vá lỗi không chính thức miễn phí cũng đã được cung cấp để giải quyết lỗ hổng zero-day của Windows Themes cho phép kẻ tấn công đánh cắp thông tin xác thực NTLM của mục tiêu từ xa.
0patch cũng đã phát hành các bản vá lỗi nhỏ cho một lỗ hổng bảo mật khác chưa từng được biết đến trên Windows Server 2012 và Server 2012 R2 cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ Mark-of-the-Web (MotW) trên một số loại tệp nhất định. Người ta tin rằng sự cố này đã xuất hiện cách đây hơn hai năm.
Với việc NTLM bị khai thác rộng rãi thông qua các cuộc tấn công chuyển tiếp và chuyển tiếp băm, Microsoft đã công bố kế hoạch ngừng sử dụng giao thức xác thực cũ để chuyển sang Kerberos. Hơn nữa, công ty đã thực hiện bước kích hoạt Bảo vệ mở rộng cho Xác thực (EPA) theo mặc định cho các bản cài đặt Exchange 2019 mới và hiện có.
Microsoft cho biết họ đã triển khai cải tiến bảo mật tương tự cho Azure Directory Certificate Services (AD CS) bằng cách kích hoạt EPA theo mặc định với bản phát hành Windows Server 2025, bản phát hành này cũng loại bỏ hỗ trợ cho NTLM v1 và ngừng sử dụng NTLM v2. Những thay đổi này cũng áp dụng cho Windows 11 24H2.
"Ngoài ra, như một phần của bản phát hành Windows Server 2025, LDAP hiện đã bật liên kết kênh theo mặc định", nhóm bảo mật của Redmond cho biết vào đầu tuần này. "Những cải tiến bảo mật này giúp giảm thiểu rủi ro bị tấn công chuyển tiếp NTLM theo mặc định trên ba dịch vụ tại chỗ: Exchange Server, Active Directory Certificate Services (AD CS) và LDAP".
"Khi chúng tôi tiến tới việc vô hiệu hóa NTLM theo mặc định, những thay đổi tức thời, ngắn hạn, chẳng hạn như bật EPA trong Exchange Server, AD CS và LDAP sẽ củng cố thế trận 'an toàn theo mặc định' và bảo vệ người dùng khỏi các cuộc tấn công trong thế giới thực."
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian nghỉ lễ Tết Dương Lịch ngày Thứ Tư 01/01/2025 theo hướng dẫn của Chính Phủ ban hành. Chúng tôi sẽ làm...
Chi tiếtTin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện ích mở rộng của trình duyệt và tiêm mã độc vào...
Chi tiếtMặc dù nhiều người dùng và tổ chức không nhận thức được những rủi ro tiềm ẩn liên quan đến tiện ích mở rộng trình duyệt, nhưng có một số hành động...
Chi tiết