Chủ đề

Microsoft vá lỗ hổng đang bị khai thác bới APT FruityArmor

(Không gian mạng) - Microsoft cảnh báo, đây là một lỗ hổng zero-day liên quan đến thành phần Win32 đang bị tin tặc khai thác để tấn công. 

Microsoft vừa công bố bản vá của một lỗ hổng zero-day hiện đang bị tin tặc khai thác, như một phần của bản cập nhật bảo mật Patch Tuesday. Đây là một lỗ hổng nâng quyền lên cấp cao nhất, được đánh giá rất nghiêm trọng, ảnh hưởng đến thành phần Win32 trên Windows.icrosoft-patch-tuesday-end

Lỗ hổng zero-day này là CVE-2018-8453, được hãng bảo mật Kaspersky Lab phát hiện, cho phép tin tặc triển khai mã tùy ý trong chế độ hạt nhân trên máy mục tiêu. “Tin tặc sau đó có thể cài các chương trình; xem, thay đổi hay xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền người dùng”, Microsoft viết trong bản cập nhật vá lỗi. Các phiên bản Windows 7, 8.1, 10 và Windows Server 2008, 2012, 2016, và 2019 đều bị ảnh hưởng.

Kaspersky cho biết, nhóm APT FruityArmor, có trụ sở đặt tại Trung Đông và từng nhắm vào lỗ hổng zero-day Windows, được tin đang tích cực khai thác lỗ hổng trên. Vào năm 2016, các chuyên gia tại Kaspersky báo cáo rằng, nhóm này đã thực hiện nhiều cuộc tấn công có mục tiêu qua khai thác các lỗ hổng zero-day, để vượt qua các sandbox trên trình duyệt và thực thi mã độc. Trong trường hợp đó, tin tặc nhắm vào lỗ hổng CVE-2016-3393 trên giao diện thiết bị đồ họa Windows.

Bản vá lỗ hổng zero-day này nằm trong số 49 lỗ hổng được công bố bản vá vào ngày Thứ 3, trong đó có 12 lỗ hổng được đánh giá là quan trọng.

Microsoft cũng đã vá một lỗ hổng 8 năm tuổi cho phép thực thi code từ xa, được phát hiện lần đầu vào năm 2010 và liệt vào danh sách lỗi quan trọng. Lỗi CVE-2010-3190 là một vấn đề dai dẳng trong thư viện Microsoft Foundation Class (MFC), một nguồn mà các nhà phát triển dùng để quản lý cách tập tin DLL tải lên và xử lý chúng bằng một ứng dụng. Lỗi này đã được vá nhiều lần trong nhiều năm: 2010, 2011 và 2016 với bản cập nhật mới nhất vừa ra. Microsoft cho biết, vấn đề này lại một lần nữa trở nên quan trọng khi nó liên quan đến việc cài đặt ứng dụng Exchange Server 2016.

“Một khi tin tặc khai thác thành công lỗ hổng này, chúng sẽ nắm toàn quyền trên hệ thống lây nhiễm như: cài chương trình; xem, thay đổi và xóa dữ liệu; tạo tài khoản mới với toàn quyền của người dùng”, Microsoft viết.

Microsoft nói thêm: “Exchange Server không được xem như một sản phẩm lõi khi lỗi CVE-2010-3190 được công khai lần đầu… Bản cập nhật xử lý lỗ hổng này bằng cách sửa cách ứng dụng được xây dựng nhờ sử dụng MFC để tải tập tin DLL”.

Các bản vá khác của Microsoft giải quyết lỗ hổng trên trình duyệt Edge và Internet Explorer; và những ứng dụng như SharePoint Enterprise server và phần mềm SQL Server Management.

“Một trong những lỗ hổng quan trọng nhất được vá trong bản cập nhật vá lỗi Patch Tuesday hôm nay là lỗ hổng zero-day CVE-2018-8423 trên hệ quản trị cơ sở dữ liệu Microsoft JET Database Engine, được công bố hồi tháng 09/2018”, Phó giám đốc kỹ thuật hãng phần mềm Tenable (Mỹ) Glen Pendley và chuyên gia phân tích tình báo mối đe dọa mạng tại Recorded Future (Mỹ) Allan Liska nói trong một bài phân tích chung. “Lỗ hổng được công khai đi kèm với một mẫu code khai thác, làm phơi bày lỗ hổng tại các tổ chức từ mọi nơi trong nhiều tuần qua. Do đó, các tổ chức cần nhanh chóng cập nhật hệ thống ngay lập tức”.

Trong số 49 lỗ hổng mà Microsoft ra bản vá trong tháng này, phần lớn, 33 lỗ hổng được vá nằm trên Windows 10, Edge và các phiên bản Server liên quan, Giám đốc quản lý sản phẩm hãng phần mềm Ivanti (Mỹ) chỉ ra. “Ngoài ra, chúng ta cần lưu ý một bản cập nhật cho Server 2019 được cung cấp thường kì vào tuần rồi. Microsoft đã tiếp tục xu hướng này từ tháng 09/2018, khi họ giới thiệu một ấn bản hàng tháng và một bản dành riêng cho bảo mật Server 2008”.

Hồng Anh (Lược dịch từ: Threat Post)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: