Cập nhật bản vá lỗ hổng bảo mật tháng 10/2023

Microsoft

Trung tuần tháng 10, Microsoft đã phát hành bản vá cho 104 lỗ hổng. Trong số này, có 13 lỗ hổng được đánh giá là nghiêm trọng và 91 lỗ hổng quan trọng.

Các lỗ hổng được vá tồn tại trong các sản phẩm: Microsoft Office, Windows RDP, Windows Message Queuing, Azure SDK, Microsoft Dynamics, SQL Server, Azure Real Time Operating System, Azure, Windows IKE Extension, Windows Win32K, Microsoft Exchange Server, Skype for Business, Windows Client/Server Runtime Subsystem….

Xét về phân loại theo hình thức tấn công, các lỗ hổng được phân loại như sau: 01 lỗ hổng giả mạo; 17 lỗ hổng tấn công từ chối dịch vụ; 26 lỗ hổng leo thang đặc quyền; 12 lỗ hổng rò rỉ thông tin; 03 lỗ hổng cho phép vượt qua tính năng bảo mật và 45 lỗ hổng liên quan đến việc thực thi mã từ xa.

Đáng chú ý, có 2 lỗ hổng đang bị khai thác tích cực trong thực tế, cụ thể như sau:

Lỗ hổng CVE-2023-36562 (điểm CVSS:3.1 7.1) làm lộ lọt thông tin trong Microsoft WordPad.

Lỗ hổng CVE-2023-41763 (điểm CVSS:3.1 5.3) cho phép tấn công leo thang đặc quyền trên ứng dụng Skype for Business, dẫn tới việc lộ lọt thông tin quan trọng như địa chỉ IP. Từ đó, cho phép đối tượng tấn công truy cập vào mạng nội bộ.

Để khai thác lỗ hổng CVE-2023-36562, ban đầu, đối tượng tấn công cần đăng nhập vào hệ thống và thực thi một ứng dụng tùy chỉnh để chiếm quyền kiểm soát. Bên cạnh đó, thông qua việc khai thác lỗ hổng này, các đối tượng tấn công cũng có thể dụ dỗ người dùng mở file độc hại qua email hoặc tin nhắn.

Bản vá tháng này cũng giải quyết một loạt các lỗ hổng liên quan đến Microsoft Message Queuing (MSMQ) và giao thức lớp 2 Tunneling, có thể dẫn đến thực thi mã từ xa và từ chối dịch vụ.

Đặc biệt, Microsoft cũng vá một lỗ hổng leo thang đặc quyền nghiêm trọng trên Windows IIS Server (định danh CVE-2023-36434, điểm CVSS:3.1 9.8), cho phép đối tượng tấn công giả mạo và đăng nhập dưới tên người dùng khác bằng phương thức Brute-force.

Ngoài ra, Microsoft cũng phát hành một bản vá cho lỗ hổng CVE-2023-44487, hay còn gọi là tấn công HTTP/2 Rapid Reset, đã bị các tác nhân chưa rõ danh tính sử dụng như một lỗ hổng zero-day để thực hiện các cuộc tấn công phân tán từ chối dịch vụ (DDoS). Mặc dù cuộc tấn công DDoS này có khả năng làm ảnh hưởng đến tính khả dụng của dịch vụ, nhưng nó không dẫn đến việc lộ lột dữ liệu khách hàng.

Trong một động thái khác, Microsoft thông báo về việc ngừng cung cấp Visual Basic Script (VBScript) - một ngôn ngữ thường bị lợi dụng để phát tán mã độc. Trong các phiên bản sau này của Windows, VBScript sẽ không còn mặc định, nhưng người dùng vẫn có thể cài đặt thủ công.

Adobe

Cũng trong tháng 10, Adobe đã phát hành 03 bản cập nhật để giải quyết 13 lỗ hổng trong Adobe Bridge, Adobe Commerce và Adobe Photoshop. Trong đó, có 08 lỗ hổng nghiêm trọng. Nếu khai thác thành công các lỗ hổng nghiêm trọng này, đối tượng tấn công có thể thực thi mã tùy ý, leo thang đặc quyền và vượt qua tính năng bảo mật.

Trong số này, có 3 lỗ hổng đến từ chương trình Zero-day Initiative (ZDI). Bản vá dành cho phiên bản Commerce là bản vá lớn nhất trong nhằm khắc phục 10 lỗ hổng nghiêm trọng và quan trọng đang được giải quyết. Trong đó, lỗ hổng nghiêm trọng nhất có thể cho phép kẻ tấn công thực thi mã tùy ý thông qua tấn công SQL Injection.

Bản cập nhật cho phần mềm Adobe Photoshop khắc phục lỗ hổng thực thi mã. Với lỗ hổng này, kẻ tấn công cần phải thuyết phục người dùng mở một tệp độc hại bằng Photoshop để khai thác trên các hệ thống bị ảnh hưởng.

Còn bản vá cho Adobe Bridge khắc phục 02 lỗ hổng nghiêm trọng được nhà nghiên cứu Mat Powell của ZDI phát hiện.

May mắn, không có lỗ hổng nào được biết đến công khai hoặc đang bị tấn công trước thời điểm phát hành bàn vá.

Google

Ở một động thái khác, Google đã phát hành các bản cập nhật bảo mật tháng 10 cho Android để giải quyết 54 lỗ hổng, trong đó có 02 lỗ hổng đang bị khai thác trong thực tế.

Trong  số 54 lỗ hổng có 13 lỗ hổng tồn tại trong Android Framework; 12 lỗ hổng trong các thành phần System; 2 lỗ hổng trên Google Play; 5 lỗ hổng trong thành phần Arm; 3 lỗ hổng liên quan đến chip MediaTek; 1 lỗ hổng liên quan đến chip Unisoc và 18 lỗ hổng trên các thành phần Qualcomm.

Google cho biết có dấu hiệu cho thấy 02 lỗ hổng CVE-2023-4863 và CVE-2023-4211 đang bị khai thác có chủ đích trong các cuộc tấn công.

Trong đó, CVE-2023-4863 liên quan đến lỗi tràn bộ đệm trong thư viện nguồn mở phổ biến libwebp, ảnh hưởng đến nhiều sản phẩm phần mềm, bao gồm Chrome, Firefox, iOS, Microsoft Teams,...

Còn lỗ hổng CVE-2023-4211 ảnh hưởng đến nhiều phiên bản driver GPU Arm Mali được sử dụng trong nhiều mẫu thiết bị Android. CVE-2023-4211 là lỗ hổng use-after-free memory, có thể cho phép kẻ tấn công truy cập cục bộ trái phép hoặc thao túng dữ liệu nhạy cảm.

Đặc biệt, tất cả các lỗ hổng đều tồn tại trên phiên bản Android từ 11 đến 13. VG Với Android 10 và các phiên bản cũ hơn hiện không còn được hỗ trợ bản vá, tuy nhiên, chúng vẫn có thể bị ảnh hưởng bởi một số lỗ hổng được vá gần đây.

Do đó, để giảm thiểu các nguy cơ tiềm ẩn, người dùng hệ thống Android cũ hơn nên nâng cấp lên mẫu máy mới hơn hoặc cài đặt bản phân phối Android của bên thứ ba cung cấp các bản cập nhật bảo mật cho mẫu thiết bị của họ.