2 lỗ hổng bảo mật trên các sản phẩm Microsoft đang bị hacker khai thác

Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã có Công văn số 608/CATTT-NCSC ngày 17/4/2024 về việc lỗ hổng an toàn thông tin ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 4/2024.

Những lỗ hổng này được Cục An toàn thông tin cảnh báo trên cơ sở đánh giá, phân tích từ danh sách bản vá tháng 4/2024 đã được Microsoft công bố với 147 lỗ hổng tồn tại trong các sản phẩm của hãng công nghệ này.

Trong 16 lỗ hổng bảo mật mới được cảnh báo, có 2 lỗ hổng được các chuyên gia khuyến nghị cần đặc biệt chú ý, đó là: Lỗ hổng CVE-2024-20678 trong Remote Procedure Call Runtime - RPC (một thành phần của Windows tạo điều kiện giao tiếp giữa các tiến trình khác nhau trong hệ thống qua mạng - PV), cho phép đối tượng tấn công thực thi mã từ xa; lỗ hổng CVE-2024-29988 trong SmartScreen (một tính năng bảo mật được tích hợp sẵn trong Windows), cho phép đối tượng tấn công vượt qua cơ chế bảo vệ.

Danh sách lỗ hổng bảo mật trong các sản phẩm Microsoft được cảnh báo lần này còn có 12 lỗ hổng cho phép các đối tượng tấn công thực thi mã từ xa, bao gồm: 3 lỗ hổng CVE-2024-21322, CVE-2024-21323, CVE2024-29053 trong ‘Microsoft Defender for IoT’; lỗ hổng CVE-2024-26256 trong thư viện nguồn mở Libarchive; lỗ hổng CVE-2024-26257 trong bảng tính Microsoft Excel; 7 lỗ hổng CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 và CVE2024-26233 trong ‘Windows DNS Server’.

Bên cạnh đó, các đơn vị cũng được khuyến nghị lưu ý với 2 lỗ hổng cho phép các đối tượng thực hiện tấn công giả mạo - Spoofing, gồm lỗ hổng CVE-2024-20670 trong phần mềm Outlook for Windows làm lộ lọt ‘NTML hash’ và lỗ hổng CVE-2024-26234 trong Proxy Driver.

Cục An toàn thông tin đề nghị các cơ quan, tổ chức cũng như các doanh nghiệp kiểm tra, rà soát, xác định máy tính sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng, đồng thời cập nhật bản vá kịp thời để tránh nguy cơ bị tấn công mạng. Mục tiêu hướng tới là đảm bảo an toàn thông tin cho hệ thống thông tin của các đơn vị, góp phần bảo đảm an toàn không gian mạng Việt Nam.

Các đơn vị cũng được khuyến nghị tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng. Cùng với đó, thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Cũng trong tháng 4, Cục An toàn thông tin đã cảnh báo và hướng dẫn các đơn vị rà soát, khắc phục lỗ hổng bảo mật CVE-2024-3400 trong phần mềm PAN-OS. Mã khai thác của lỗ hổng này đã được đối tượng sử dụng để tấn công vào hệ thống thông tin của nhiều cơ quan, tổ chức. Các đơn vị sử dụng phần mềm PAN-OS được khuyến nghị cập nhật bản vá cho các phiên bản bị ảnh hưởng phát hành ngày 14/4.

Người dùng nên cài đặt bản cập nhật tháng 4 để vá các lỗ hổng bảo mật trên Windows

Bạn có thể cài đặt bản cập nhật bảo mật tháng 4 bằng cách vào Start - Settings - Update and Security - Windows Update - Check for update. Nếu có bản cập nhật bảo mật nào, người dùng chỉ cần tải xuống và cài đặt.

Mặc dù Microsoft không cung cấp thông tin về CVE-2024-26234, nhưng công ty an ninh mạng Sophos cho biết họ đã phát hiện vào tháng 12 năm 2023 một tệp thực thi độc hại ("Catalog.exe" hoặc "Catalog Authentication Client Service") được ký bằng chứng chỉ nhà xuất bản hợp lệ.

Phân tích mã xác thực của tệp nhị phân đã tiết lộ nhà xuất bản là Hainan YouHu Technology, đây cũng là đơn vị phát triển một công cụ khác có tên LaiXi Android Screen Mirroring.

Phần mềm thứ hai được mô tả là "một phần mềm tiếp thị... có thể kết nối hàng trăm điện thoại di động và điều khiển chúng theo đợt, đồng thời tự động hóa các tác vụ như theo dõi hàng loạt, thích và bình luận."

Nhà nghiên cứu Andreas Klopsch của Sophos cho biết: “Chúng tôi không có bằng chứng nào cho thấy các nhà phát triển LaiXi đã cố tình nhúng tệp độc hại vào sản phẩm của họ, hoặc một kẻ đe dọa đã tiến hành tấn công chuỗi cung ứng để chèn nó vào quá trình biên dịch/xây dựng ứng dụng LaiXi”.

Công ty an ninh mạng cho biết chiến dịch khai thác lỗ hổng đã được tiến hành ít nhất là từ ngày 5/1/2023.

Một lỗ hổng bảo mật khác được cho là đang bị khai thác tích cực là CVE-2024-29988, giống như CVE-2024-21412 và CVE-2023-36025, cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ SmartScreen của Microsoft Defender khi mở một tệp được tạo đặc biệt.

Microsoft cho biết: “Để khai thác lỗ hổng bỏ qua tính năng bảo mật này, kẻ tấn công cần thuyết phục người dùng khởi chạy các tệp độc hại bằng ứng dụng trình khởi chạy yêu cầu không hiển thị giao diện người dùng”.

Một lỗ hổng quan trọng khác là CVE-2024-29990 (điểm CVSS: 9.0), một lỗ hổng nâng cao đặc quyền ảnh hưởng đến Microsoft Azure Kubernetes Service Confidential Container. Lỗ hổng này có thể bị kẻ tấn công không xác thực khai thác để lấy cắp thông tin xác thực.

Nhìn chung, người dùng Windows nên cài đặt bản cập nhật bảo mật tháng 4 càng sớm càng tốt vì nó đã giải quyết tới 68 lỗi thực thi mã từ xa, 31 lỗi leo thang đặc quyền, 26 lỗi bỏ qua tính năng bảo mật và 6 lỗi từ chối dịch vụ (DoS). Điều thú vị là 24 trong số 26 lỗ hổng bảo mật có liên quan đến Secure Boot.

Satnam Narang, một kỹ sư tại Tenable cho biết: “Mặc dù không có lỗ hổng Secure Boot nào được xử lý trong tháng này bị khai thác ngoài tự nhiên, nhưng chúng đóng vai trò như một lời nhắc nhở rằng các lỗ hổng trong Secure Boot vẫn tồn tại và chúng ta có thể thấy nhiều hoạt động độc hại hơn liên quan đến Secure Boot trong tương lai”.

Tiết lộ này được đưa ra khi Microsoft đang phải đối mặt với những lời chỉ trích về các hoạt động bảo mật của mình, với một báo cáo gần đây từ Ủy ban đánh giá an toàn mạng Hoa Kỳ (CSRB) chỉ trích công ty đã không làm đủ để ngăn chặn một chiến dịch gián điệp mạng do một kẻ đe dọa Trung Quốc được theo dõi là Storm-0558.

Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm:

- Adobe

- AMD

- Android

- Apache XML Security for C++

- Aruba Networks

- Atos

- Bosch

- Cisco

- D-Link

- Dell

- Drupal