Vào thứ thứ ba (08/05), Microsoft đã phát hành các bản vá bảo mật cho tổng số 67 lỗ hổng, bao gồm hai lỗ hổng zero-day đang được tích cực khai thác bởi bọn tội phạm mạng và hai lỗi đã được tiết lộ công khai.

Tóm lại, Microsoft đang giải quyết 21 lỗ hổng được đánh giá là nghiêm trọng, 42 lỗ hổng được xếp hạng quan trọng và 4 lỗ hổng được đánh giá ở mức độ nghiêm trọng thấp.

Bản vá mới cập nhật này sẽ giải quyết các lỗ hổng bảo mật trong Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Exchange Server, Outlook, .NET Framework, Microsoft Hyper-V, ChakraCore, Azure IoT SDK và hơn thế nữa.

1) Lỗ hổng Double Kill IE zero-day

Lỗ hổng zero-day đầu tiên (CVE-2018-8174) là một lỗ hổng thực thi mã từ xa nghiêm trọng đã được tiết lộ bởi công ty bảo mật Trung Quốc Qihoo 360 vào tháng trước và gây ảnh hưởng đến tất cả các phiên bản được hỗ trợ của hệ điều hành Windows.

Được gọi là “Double Kill“, lỗ hổng này rất đáng chú ý bởi vì nó cho phép kẻ tấn công từ xa kiểm soát hệ thống bị ảnh hưởng bằng cách thực thi mã độc hại từ xa thông qua một số cách, chẳng hạn như trang web bị xâm phạm hoặc tài liệu Office độc ​​hại.

Lỗ hổng Double Kill là một vấn đề use-after-free, nó xuât hiện do cách VBScript Engine (bao gồm trong tất cả các phiên bản Windows hiện đang được hỗ trợ) xử lý các đối tượng trong bộ nhớ máy tính, thông qua đó cho phép kẻ tấn công thực thi mã với các đặc quyền hệ thống giống như người dùng đã đăng nhập.

Microsoft giải thích: “Trong một kịch bản tấn công web, kẻ tấn công có thể lưu trữ một trang web được thiết kế đặc biệt để khai thác lỗ hổng thông qua Internet Explorer và sau đó lừa người dùng xem trang web. Kẻ tấn công cũng có thể nhúng điều khiển ActiveX được đánh dấu là ‘an toàn để khởi tạo’ trong một ứng dụng hoặc tài liệu Microsoft Office được sử dụng để lưu trữ IE rendering engine.”

“Kẻ tấn công cũng có thể tận dụng các trang web bị xâm nhập và trang web mà chấp nhận hoặc lưu trữ nội dung hoặc quảng cáo do người dùng cung cấp. Các trang web này chứa nội dung được tạo đặc biệt mà có thể sử dụng để khai thác lỗ hổng.”

Người dùng có quyền quản trị trên hệ thống của họ bị ảnh hưởng nhiều hơn những người có quyền hạn chế, vì kẻ tấn công khai thác thành công lỗ hổng có thể kiểm soát hệ thống bị ảnh hưởng.

Microsoft vá hai lỗ hổng zero-day đang được tích cực khai thác bởi tin tặc

Tuy nhiên điều đó không có nghĩa là những người dùng có đặc quyền thấp bị bỏ qua. Nếu người dùng đăng nhập vào một hệ thống bị ảnh hưởng với nhiều quyền hạn chế hơn, kẻ tấn công vẫn có thể sử dụng kỹ thuật leo thang đặc quyền với họ để cách khai thác một lỗ hổng riêng biệt.

Các nhà nghiên cứu từ Qihoo 360 và Kaspersky Labs nhận thấy lỗ hổng này đang được khai thác bởi một nhóm tấn công tài trợ bởi nhà nước, nhưng cả Microsoft lẫn Qihoo 360 và Kaspersky đều không cung cấp bất kỳ thông tin nào về nhóm tin tặc.

2) Lỗ hổng zero-day trong Win32k

Lỗ hổng zero-day thứ hai (CVE-2018-8120) được vá trong tháng này là một lỗ hổng leo thang đặc quyền, xảy ra trong thành phần Win32k của Windows khi nó không xử lý đúng đối tượng trong bộ nhớ máy tính.

Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công thực thi mã tùy ý trong chế độ hạt nhân, qua đó cho phép họ cài đặt chương trình hoặc phần mềm độc hại; xem, chỉnh sửa hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.

Lỗ hổng này được đánh giá là “quan trọng” và chỉ ảnh hưởng đến Windows 7, Windows Server 2008 và Windows Server 2008 R2. Vấn đề này đã được khai thác tích cực bởi các kẻ xấu, nhưng Microsoft không cung cấp bất kỳ chi tiết nào về khai thác trong thực tế.

Hai lỗ hổng được tiết lộ công khai

Microsoft cũng đã giải quyết hai lỗ hổng Windows “quan trọng” có các chi tiết đã được công khai.

Một trong số đó là lỗ hổng hạt nhân Windows (CVE-2018-8141) có thể dẫn đến việc tiết lộ thông tin, và lỗ hổng còn lại là lỗi Windows Image (CVE-2018-8170) có thể dẫn đến leo thang đặc quyền.

Ngoài ra, các bản cập nhật tháng 5 năm 2018 sẽ giải quyết 20 vấn đề nghiêm trọng hơn, bao gồm cả những hỏng hóc bộ nhớ trong Edge và Internet Explorer (IE) và các lỗ hổng thực thi mã từ xa (RCE) trong Hyper-VHyper-V SMB.

Trong khi đó, Adobe cũng đã phát hành bản cập nhật Patch Tuesday nhằm giải quyết năm lỗ hổng bảo mật – một lỗi nghiêm trọng trong Flash Player, một lỗ hổng nghiêm trọng và hai lỗi quan trọng trong Creative Cloud và một lỗi quan trọng trong Connect.

Người dùng nên cài đặt các bản cập nhật bảo mật càng sớm càng tốt để bảo vệ bản thân khỏi các cuộc tấn công.

Để cài đặt các cập nhật bảo mật, hãy vào Cài đặt → Cập nhật & bảo mật → Cập nhật Windows → Kiểm tra các bản cập nhật hoặc bạn có thể cài đặt các cập nhật theo cách thủ công.

Bình luận