 |
| Bản vá tháng 5 (Patch Tuesday) khắc phục lỗi |
Các lỗ hổng này cụ thể là: 2 lỗi thực thi mã từ xa, 1 lỗi leo thang đặc quyền và 1 lỗi vượt qua tính năng bảo mật Secure Boot. Trong điều kiện lý tưởng, bốn lỗ hổng và một trong số chúng có thể được kết hợp với nhau để tạo thành một chuỗi tấn công hoàn hảo. Bản vá tháng 5 (Patch Tuesday) của Microsoft đã sửa chữa các lỗi này. Để ngăn chặn một cuộc tấn công trên diện rộng, người dùng cần phải cập nhật ngay lập tức.
Lỗ hổng đầu tiên (mã định danh CVE-2023-29325) là một lỗi thực thi mã từ xa trong công nghệ OLE (Object Linking and Embedding) trên Windows ảnh hưởng đến Outlook. Để khai thác, hacker gửi email lừa đảo đến người dùng. Kẻ tấn công có thể thực thi mã từ xa và chiếm quyền điều khiển hoàn toàn thiết bị, chỉ cần nạn nhân mở email bằng phần mềm Outlook, hoặc ứng dụng Outlook hiển thị bản xem thử của email.
Lỗ hổng thứ hai, CVE-2023-29336, là lỗi leo thang đặc quyền trong trình điều khiển nhân Win32k của hệ điều hành. Tin tặc có thể leo thang từ người dùng lên đặc quyền System (quyền cao nhất trong hệ điều hành) để cài cắm mã độc trên thiết bị mục tiêu và duy trì quyền truy cập. Lỗ hổng hiện đang bị khai thác trong các cuộc tấn công thực tế.
Lỗ hổng thứ ba, CVE-2023-24932, cho phép hacker vượt qua tính năng khởi động an toàn Secure Boot. Tin tặc tìm cách "nằm vùng" hoặc chiếm quyền kiểm trị trên thiết bị mục tiêu để khai thác, từ đó cài mã độc bootkit lên firmware (phần sụn) của hệ thống. Với sự trợ giúp của Bootkit này, hacker có thể kiểm soát quá trình khởi động thiết bị, nằm vùng lâu hơn và tránh bị phát hiện bởi các giải pháp an ninh.
Lỗ hổng thực thi mã từ xa CVE-2023-24941 (điểm nghiêm trọng CVSS 9,8/10), có thể là bàn đạp để hacker tấn công sâu vào các hệ thống khác, là nguy hiểm nhất. Lỗ hổng trong giao thức chia sẻ tệp tin trong mạng NFS (Network File System) của Windows. Kẻ tấn công chưa được xác thực có thể gửi một lệnh tự tạo đặc biệt đến dịch vụ NFS, từ đó giành quyền kiểm soát các máy chủ Windows. Windows Server 2012 2016, 2014 và 2022 bị ảnh hưởng bởi CVE 2023-24941, đặc biệt không yêu cầu tương tác người dùng.
Chuyên gia của Tập đoàn Bkav tuyên bố rằng trong những trường hợp lý tưởng, tin tặc có thể kết hợp bốn lỗ hổng trên để tạo thành một chuỗi tấn công như sau:
Đầu tiên, lừa nạn nhân nhấn vào email giả mạo để khai thác CVE-2023-29325, từ đó chiếm quyền thực thi mã từ xa trên thiết bị mục tiêu.
Sau đó, CVE-2023-29336 được sử dụng để chuyển đổi quyền truy cập hệ thống từ mức người dùng sang phần mềm độc hại, sau đó lây nhiễm phần mềm độc hại và duy trì quyền truy cập thiết bị.
Khi được đặt trong một khu vực trên thiết bị, hacker có thể sử dụng tính năng bảo mật Secure Boot bằng CVE-2023-24932, cài đặt phần mềm độc hại và duy trì sự hiện diện trên hệ thống nạn nhân.
Cuối cùng, lợi dụng CVE-2023-24941 để khai thác sâu vào các máy chủ Windows.
Theo ông Nguyễn Văn Cường, Giám đốc An ninh mạng của Bkav, hacker có thể kiểm soát toàn bộ hệ thống, đánh cắp dữ liệu nhạy cảm và thực hiện các cuộc tấn công thành công. Người dùng đặc biệt có nguy cơ trở thành nạn nhân của các chiến dịch lừa đảo bằng email (phishing) do lỗ hổng CVE-2023-29325 gây ra. Tấn công bằng hình thức này tương đối đơn giản, giá cả phải chăng và có thể thực hiện trên phạm vi rộng, do đó mức độ ảnh hưởng sẽ rất lớn.
Theo đại diện của Bkav, người dùng nên cập nhật hệ điều hành Windows ngay lập tức lên phiên bản mới nhất. Ngoài ra, người dùng không nên mở email lạ không rõ nguồn gốc nếu phát hiện bất thường trên hệ thống cần liên hệ đội ngũ chuyên môn để rà soát, xử lý.
Theo baochinhphu.vn
|
| Bản vá tháng 5 (Patch Tuesday) khắc phục lỗi |
Các lỗ hổng này cụ thể là: 2 lỗi thực thi mã từ xa, 1 lỗi leo thang đặc quyền và 1 lỗi vượt qua tính năng bảo mật Secure Boot. Trong điều kiện lý tưởng, bốn lỗ hổng và một trong số chúng có thể được kết hợp với nhau để tạo thành một chuỗi tấn công hoàn hảo. Bản vá tháng 5 (Patch Tuesday) của Microsoft đã sửa chữa các lỗi này. Để ngăn chặn một cuộc tấn công trên diện rộng, người dùng cần phải cập nhật ngay lập tức.
Lỗ hổng đầu tiên (mã định danh CVE-2023-29325) là một lỗi thực thi mã từ xa trong công nghệ OLE (Object Linking and Embedding) trên Windows ảnh hưởng đến Outlook. Để khai thác, hacker gửi email lừa đảo đến người dùng. Kẻ tấn công có thể thực thi mã từ xa và chiếm quyền điều khiển hoàn toàn thiết bị, chỉ cần nạn nhân mở email bằng phần mềm Outlook, hoặc ứng dụng Outlook hiển thị bản xem thử của email.
Lỗ hổng thứ hai, CVE-2023-29336, là lỗi leo thang đặc quyền trong trình điều khiển nhân Win32k của hệ điều hành. Tin tặc có thể leo thang từ người dùng lên đặc quyền System (quyền cao nhất trong hệ điều hành) để cài cắm mã độc trên thiết bị mục tiêu và duy trì quyền truy cập. Lỗ hổng hiện đang bị khai thác trong các cuộc tấn công thực tế.
Lỗ hổng thứ ba, CVE-2023-24932, cho phép hacker vượt qua tính năng khởi động an toàn Secure Boot. Tin tặc tìm cách "nằm vùng" hoặc chiếm quyền kiểm trị trên thiết bị mục tiêu để khai thác, từ đó cài mã độc bootkit lên firmware (phần sụn) của hệ thống. Với sự trợ giúp của Bootkit này, hacker có thể kiểm soát quá trình khởi động thiết bị, nằm vùng lâu hơn và tránh bị phát hiện bởi các giải pháp an ninh.
Lỗ hổng thực thi mã từ xa CVE-2023-24941 (điểm nghiêm trọng CVSS 9,8/10), có thể là bàn đạp để hacker tấn công sâu vào các hệ thống khác, là nguy hiểm nhất. Lỗ hổng trong giao thức chia sẻ tệp tin trong mạng NFS (Network File System) của Windows. Kẻ tấn công chưa được xác thực có thể gửi một lệnh tự tạo đặc biệt đến dịch vụ NFS, từ đó giành quyền kiểm soát các máy chủ Windows. Windows Server 2012 2016, 2014 và 2022 bị ảnh hưởng bởi CVE 2023-24941, đặc biệt không yêu cầu tương tác người dùng.
Chuyên gia của Tập đoàn Bkav tuyên bố rằng trong những trường hợp lý tưởng, tin tặc có thể kết hợp bốn lỗ hổng trên để tạo thành một chuỗi tấn công như sau:
Đầu tiên, lừa nạn nhân nhấn vào email giả mạo để khai thác CVE-2023-29325, từ đó chiếm quyền thực thi mã từ xa trên thiết bị mục tiêu.
Sau đó, CVE-2023-29336 được sử dụng để chuyển đổi quyền truy cập hệ thống từ mức người dùng sang phần mềm độc hại, sau đó lây nhiễm phần mềm độc hại và duy trì quyền truy cập thiết bị.
Khi được đặt trong một khu vực trên thiết bị, hacker có thể sử dụng tính năng bảo mật Secure Boot bằng CVE-2023-24932, cài đặt phần mềm độc hại và duy trì sự hiện diện trên hệ thống nạn nhân.
Cuối cùng, lợi dụng CVE-2023-24941 để khai thác sâu vào các máy chủ Windows.
Theo ông Nguyễn Văn Cường, Giám đốc An ninh mạng của Bkav, hacker có thể kiểm soát toàn bộ hệ thống, đánh cắp dữ liệu nhạy cảm và thực hiện các cuộc tấn công thành công. Người dùng đặc biệt có nguy cơ trở thành nạn nhân của các chiến dịch lừa đảo bằng email (phishing) do lỗ hổng CVE-2023-29325 gây ra. Tấn công bằng hình thức này tương đối đơn giản, giá cả phải chăng và có thể thực hiện trên phạm vi rộng, do đó mức độ ảnh hưởng sẽ rất lớn.
Theo đại diện của Bkav, người dùng nên cập nhật hệ điều hành Windows ngay lập tức lên phiên bản mới nhất. Ngoài ra, người dùng không nên mở email lạ không rõ nguồn gốc nếu phát hiện bất thường trên hệ thống cần liên hệ đội ngũ chuyên môn để rà soát, xử lý.
Theo baochinhphu.vn
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống