Microsoft phát hành bản vá Patch Tuesday tháng 7 năm 2023 cho 132 lỗ hổng, bao gồm 6 zero-day đã bị khai thác

Microsoft đã phát hành bản cập nhật bảo mật hàng tháng Patch Tuesday tháng 7 năm 2023 cho 132 lỗ hổng, bao gồm 6 lỗ hổng đã bị khai thác trong các cuộc tấn công và 37 lỗ hổng thực thi mã từ xa.

Trong số 37 lỗ hổng RCE đã được vá, Microsoft chỉ xác định 9 lỗ hổng là 'Nghiêm trọng'. Tuy nhiên, một trong những lỗ hổng RCE vẫn chưa được vá và đang bị khai thác trong thực tế.

Danh sách các lỗ hổng bao gồm:

- 33 lỗ hổng leo thang đặc quyền

- 13 lỗ hổng bỏ qua tính năng bảo mật

- 37 lỗ hổng thực thi mã từ xa

- 19 lỗ hổng gây lộ thông tin

- 22 lỗ hổng từ chối dịch vụ (DoS)

- 7 lỗ hổng giả mạo (spoofing)

Microsoft vẫn chưa phát hành bản cập nhật cho bất kỳ lỗ hổng Microsoft Edge nào trong tháng 7 này.

Sáu lỗ hổng đang bị khai thác

Các bản cập nhật lần này đã giải quyết sáu lỗ hổng zero-day, tất cả đều đã bị khai thác trong các cuộc tấn công và một trong số đó đã được tiết lộ công khai, bao gồm:

(1) CVE-2023-32046 - Lỗ hổng leo thang đặc quyền trong nền tảng Windows MSHTML

(2) CVE-2023-32049 - Lỗ hổng bỏ qua tính năng bảo mật Windows SmartScreen, bị khai thác để ngăn việc hiển thị thông báo mở tệp - cảnh báo bảo mật khi tải xuống và mở tệp từ Internet.

(3) CVE-2023-36874 - Lỗ hổng leo thang đặc quyền trong dịch vụ Windows Error Reporting, cho phép tác nhân đe dọa, đã có quyền truy cập cục bộ vào máy mục tiêu, có thể giành được quyền của quản trị viên trên thiết bị Windows. Lỗ hổng được phát hiện bởi Vlad Stolyarov và Maddie Stone thuộc Nhóm phân tích mối đe dọa của Google (TAG)

(4) CVE-2023-36884 - Lỗ hổng thực thi mã từ xa, hiện chưa được vá và đã được tiết lộ công khai, ảnh hưởng đến các sản phẩm Windows HTML và Office. Lỗ hổng này đã bị nhóm tin tặc RomCom khai thác.

Microsoft cho biết rằng: "Kẻ tấn công có thể tạo một tài liệu Microsoft Office độc hại cho phép chúng thực thi mã từ xa trong ngữ cảnh của nạn nhân. Tuy nhiên, kẻ tấn công cần phải lừa nạn nhân mở tệp độc hại để kích hoạt tấn công."

"Sau khi hoàn thành cuộc điều tra này, Microsoft sẽ thực hiện hành động thích hợp để giúp bảo vệ khách hàng của chúng tôi. Điều này có thể bao gồm việc cung cấp bản cập nhật bảo mật thông qua quy trình phát hành hàng tháng hoặc cung cấp bản cập nhật riêng, tùy thuộc vào nhu cầu của khách hàng."

Mặc dù chưa có bản vá, nhưng Microsoft cho biết người dùng Microsoft Defender dành cho Office và những người sử dụng tùy chọn "Chặn tất cả các ứng dụng Office tạo tiến trình con" sẽ được bảo vệ khỏi các tệp độc hại dùng để khai thác lỗ hổng này.

Ngoài ra, công ty cũng cung cấp một biện pháp thay thế khác để ngăn việc khai thác lỗ hổng được kích hoạt bằng cách thêm các tên ứng dụng Excel.exe, Graph.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe, Wordpad.exe vào khóa registry

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION như các giá trị của loại (type) REG_DWORD với dữ liệu (data) bằng 1.

(5) Lỗ hổng trong chính sách của Windows đã bị lạm dụng trong các cuộc tấn công để cài đặt driver độc hại trong kernel của thiết bị Windows. Microsoft đã thu hồi những chứng chỉ đã được ký (code-signing certificates) và các tài khoản nhà phát triển đã lạm dụng lỗ hổng này.

(6) CVE-2023-35311 - Lỗ hổng cho phép bỏ qua cảnh báo bảo mật của Microsoft Outlook.

Để xem thông tin mô tả đầy đủ cho từng lỗ hổng và những hệ thống bị ảnh hưởng, bạn có thể xem báo cáo tại đây.

Ngoài Microsoft, nhiều nhà cung cấp khác cũng đã phát hành các bản cập nhật bảo mật trong tháng này để giải quyết các lỗ hổng ảnh hưởng đến sản phẩm của họ, bao gồm AMD, Apple, Cisco, Google, MOVEit, SAP, VMware,…

Người dùng nên kiểm tra và nhanh chóng cập nhật bản vá bảo mật cho các sản phẩm đang sử dụng hoặc tuân theo khuyến nghị bảo mật do nhà cung cấp phát hành để giảm thiểu các nguy cơ bị tấn công.

BBT