Microsoft phát hành bản vá tháng 8 khắc phục 9 lỗ hổng bảo mật zero-day
Theo đó, bản vá Patch Tuesday tháng 8 đã khắc phục: 36 lỗ hổng leo thang đặc quyền; 4 lỗ hổng bỏ qua tính năng bảo mật; 28 lỗ hổng thực thi mã từ xa; 8 lỗ hổng tiết lộ thông tin; 6 lỗ hổng từ chối dịch vụ và 7 lỗ hổng giả mạo.
Bên cạnh 9 lỗ hổng zero-day, bản vá tháng này cũng giải quyết 8 lỗ hổng nghiêm trọng: leo thang đặc quyền, thực thi mã từ xa và tiết lộ thông tin.
Danh sách lỗ hổng bảo mật này không bao gồm các lỗ hổng của sản phẩm Microsoft Edge đã được tiết lộ hồi đầu tháng. Đáng lưu ý, một lỗ hổng zero-day khác cũng đã được tiết lộ công khai nhưng không được giải quyết ở bản cập nhật này, bởi Microsoft đang tiếp tục xử lý.
6 lỗ hổng zero-day đang bị khai thác tích cực
CVE-2024-38178: Lỗ hổng làm hỏng bộ nhớ của Scripting Engine
Microsoft cho biết lỗ hổng này yêu cầu người dùng đã được xác thực phải truy cập vào một đường liên kết để kẻ tấn công chưa xác thực có thể thực thi mã từ xa. Liên kết này phải được truy cập từ Microsoft Edge ở chế độ Internet Explorer, điều này khiến đây trở thành lỗ hổng khó bị khai thác. Tuy nhiên, Trung tâm An ninh mạng Quốc gia Hàn Quốc (NCSC) và AhnLab đã tiết lộ lỗ hổng này đang bị khai thác trong các cuộc tấn công.
CVE-2024-38193: Lỗ hổng leo thang đặc quyền ở WinSock -Trình điều khiển chức năng phụ trợ của Windows
Lỗ hổng này cho phép các cuộc tấn công giành được đặc quyền hệ thống trên Windows. Lỗ hổng CVE-2024-38193 được chuyên gia Luigino Camastra và Milánek phát hiện cùng với Gen Digital, nhưng Microsoft không chia sẻ bất kỳ thông tin chi tiết nào về cách tiết lộ lỗ hổng.
CVE-2024-38213: Lỗ hổng bỏ qua tính năng bảo mật Web của Windows Mark
Lỗ hổng CVE-2024-38213 cho phép kẻ tấn công tạo các tệp bỏ qua cảnh báo bảo mật Web của Windows Mark. Tính năng bảo mật này đã bị bỏ qua nhiều lần trong năm vì đây là mục tiêu hấp dẫn đối với các tác nhân đe dọa thực hiện các chiến dịch lừa đảo. Microsoft cho biết lỗ hổng này được Peter Girnus của tổ chức Zero Day Initiative của Trend Micro phát hiện ra nhưng không chia sẻ cách khai thác trong các cuộc tấn công.
CVE-2024-38106: Lỗ hổng leo thang đặc quyền trong nhân Windows
Theo khuyến cáo của Microsoft, lỗ hổng này xuất phát từ lỗi race condition xảy ra trong nhân của Windows. Nếu bị khai thác thành công, kẻ tấn công có thể dành được đặc quyền cấp hệ thống. Microsoft chưa chia sẻ ai đã tiết lộ lỗ hổng và cách khai thác.
CVE-2024-38107: Lỗ hổng leo thang đặc quyền Windows Power Dependency Coordinator
Lỗ hổng này nếu bị khác thác thành công sẽ cho phép kẻ tấn công chiếm được quyền hệ thống. Microsoft chưa chia sẻ ai đã tiết lộ lỗ hổng và cách khai thác.
CVE-2024-38189: Lỗ hổng thực thi mã từ xa của Microsoft Project
Lỗ hổng CVE-2024-38189 yêu cầu phải vô hiệu hóa các tính năng bảo mật để khai thác. Hãng cho biết "Việc khai thác yêu cầu nạn nhân phải mở tệp Microsoft Office Project độc hại trên hệ thống có các macro Block chạy trong tệp Office từ Internet bị vô hiệu hóa và Cài đặt thông báo macro VBA không được bật, cho phép kẻ tấn công thực hiện thực thi mã từ xa". Microsoft cho biết thêm, kẻ tấn công cần phải đánh lừa người dùng mở tệp độc hại, chẳng hạn như thông qua các cuộc tấn công lừa đảo hoặc bằng cách dụ người dùng đến các trang web lưu trữ tệp. Microsoft không tiết lộ ai là người phát hiện ra lỗ hổng bảo mật này hoặc cách thức khai thác lỗ hổng này trong các cuộc tấn công.
4 lỗ hổng zero day bị tiết lộ công khai
CVE-2024-38199: Lỗ hổng thực thi mã từ xa của dịch vụ Windows Line Printer Daemon (LPD)
Microsoft đã khắc phục một lỗ hổng thực thi mã từ xa trong Windows Line Printer Daemon. Theo khuyến cáo của Microsoft, lỗ hổng này được liệt kê là đã công khai nhưng người tiết lộ muốn ẩn danh. Theo đó, kẻ tấn công chưa xác thực có thể gửi một tác vụ in được thiết kế đặc biệt đến một dịch vụ Windows Line Printer Daemon (LPD) qua mạng. Khai thác thành công lỗ hổng có thể dẫn đến thực thi mã từ xa trên máy chủ.
CVE-2024-21302: Lỗ hổng nâng cao đặc quyền của Windows Secure Kernel Mode
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach đã tiết lộ lỗ hổng này như một phần của cuộc thảo luận về cuộc tấn công hạ cấp Windows Downdate tại Black Hat 2024.
Cuộc tấn công Windows Downdate sẽ loại bỏ bản vá các hệ thống Windows 10, Windows 11 và Windows Server đã cập nhật đầy đủ để đưa lại các lỗ hổng cũ bằng các bản cập nhật được thiết kế đặc biệt. Lỗ hổng này cho phép kẻ tấn công có được các đặc quyền nâng cao để cài đặt các bản cập nhật độc hại.
CVE-2024-38200: Lỗ hổng giả mạo Microsoft Office
Microsoft đã khắc phục lỗ hổng của Microsoft Office làm lộ các hàm băm NTLM. Kẻ tấn công có thể khai thác lỗ hổng bằng cách đánh lừa người dùng mở tệp độc hại, dẫn đến việc Office phải thực hiện kết nối ra ngoài đến một chia sẻ từ xa, nơi kẻ tấn công có thể đánh cắp các hàm băm NTLM đã gửi. Lỗ hổng này đã được Jim Rush phát hiện với PrivSec và đã được khắc phục thông qua Microsoft Office Feature Flighting.
CVE-2024-38202: Lỗ hổng nâng cao đặc quyền của Windows Update Stack
Lỗ hổng này cũng là một phần của cuộc thảo luận về cuộc tấn công hạ cấp Windows Downdate tại Black Hat 2024. Microsoft đang phát triển bản cập nhật bảo mật để giảm thiểu mối đe dọa này, nhưng hiện tại vẫn chưa có.
Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong bản cập nhật Patch Tuesday tháng 8/2024. Quý độc giả có thể xem mô tả đầy đủ về từng loại lỗ hổng và hệ thống bị ảnh hưởng tại đây.
Hướng dẫn cập nhật bản vá tự động trên Windows
Bước 1: Kích chuột vào biểu tượng Windows cửa sổ hiện ra chọn vào Settings.
Bước 2: Cửa sổ hiện ra kích chọn Update& Security.
Bước 3: Cửa sổ hiện ra kích chọn Windows Update, tiếp theo chọn Check for updates.
Sau khi hoàn thành, tiến hành khởi động lại máy. Người dùng quan tâm hướng dẫn chi tiết cập nhật lỗ hổng có thể theo dõi quy trình cập nhật bản vá trên máy trạm tại đây.
Doãn Trung