Vào tháng 9/2024, Microsoft đã phát hành bản cập nhật Patch Tuesday mới nhất, giải quyết tổng cộng 79 lỗ hổng bảo mật trên hệ điều hành Windows và các phần mềm liên quan. Đáng chú ý, bốn lỗ hổng zero-day nguy hiểm đã bị khai thác trong thực tế, khiến chúng trở thành tâm điểm của bản vá này. Với các lỗ hổng cho phép tấn công leo thang quyền hạn, bỏ qua tính năng bảo mật, và thậm chí thực thi mã độc từ xa, bản cập nhật này đã nhấn mạnh tầm quan trọng của việc duy trì hệ thống an toàn trước các mối đe dọa an ninh mạng ngày càng phức tạp.
Tổng quan về bản cập nhật Patch Tuesday
Trong bản cập nhật lần này, Microsoft đã vá 79 lỗ hổng, bao gồm:
- 7 lỗ hổng nghiêm trọng: Những lỗ hổng này có thể gây hậu quả nghiêm trọng đến hệ thống, như cho phép kẻ tấn công thực thi mã độc từ xa hoặc chiếm quyền điều khiển hệ thống.
- 71 lỗ hổng quan trọng: Những lỗ hổng này ảnh hưởng đến tính bảo mật của hệ thống nhưng đòi hỏi điều kiện cụ thể hơn để khai thác thành công.
- 1 lỗ hổng mức độ trung bình: Lỗ hổng này ít nguy hiểm hơn, nhưng vẫn cần được vá để đảm bảo hệ thống an toàn.
Ngoài ra, Microsoft còn giải quyết 26 lỗ hổng trên trình duyệt Edge, dựa trên nền tảng Chromium, kể từ bản cập nhật Patch Tuesday tháng trước. Điều này cho thấy mối đe dọa bảo mật không chỉ dừng lại ở hệ điều hành Windows mà còn lan rộng ra nhiều phần mềm phổ biến khác.
Các lỗ hổng Zero-Day đáng chú ý
Trong số những lỗ hổng được vá, bốn lỗ hổng zero-day (tức là những lỗ hổng đã bị khai thác trước khi có bản vá) đã bị phát hiện và khai thác trong các cuộc tấn công thực tế. Những lỗ hổng này bao gồm:
- CVE-2024-38014 – Lỗ hổng leo thang quyền hạn của Windows Installer
- Điểm CVSS: 7.8
- Đây là một lỗ hổng leo thang quyền hạn, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống bằng cách lợi dụng Windows Installer. Khi kẻ tấn công khai thác lỗ hổng này, họ có thể nâng quyền hạn của mình, từ đó truy cập các chức năng và dữ liệu mà thông thường họ không có quyền truy cập.
- Điều này đặc biệt nguy hiểm đối với các hệ thống mà kẻ tấn công đã có quyền truy cập cục bộ, như trong trường hợp máy tính bị nhiễm phần mềm độc hại hoặc bị xâm nhập thông qua các phương thức khác.
- CVE-2024-38217 – Lỗ hổng bỏ qua tính năng bảo mật Mark-of-the-Web (MotW)
- Điểm CVSS: 5.4
- Lỗ hổng này cho phép kẻ tấn công bỏ qua tính năng Mark-of-the-Web (MotW) của Windows. MotW là cơ chế bảo mật giúp hệ điều hành xác định các tệp tin tải về từ Internet và cảnh báo người dùng khi mở các tệp này.
- Khi kẻ tấn công khai thác thành công, hệ thống sẽ không nhận diện tệp tin đó là nguy hiểm, dẫn đến việc người dùng vô tình mở các tệp độc hại mà không biết. Lỗ hổng này đã bị khai thác trong thực tế từ tháng 2/2018, còn được gọi là LNK Stomping.
- CVE-2024-38226 – Lỗ hổng bỏ qua tính năng bảo mật của Microsoft Publisher
- Điểm CVSS: 7.3
- Lỗ hổng này tương tự như lỗ hổng CVE-2024-38217, nhưng tập trung vào Microsoft Publisher, cho phép kẻ tấn công bỏ qua các tính năng bảo mật trong phần mềm này. Để khai thác lỗ hổng, kẻ tấn công cần phải có quyền truy cập cục bộ vào hệ thống và được xác thực, điều này đòi hỏi họ phải có một mức độ quyền hạn trước khi có thể thực thi mã độc.
- CVE-2024-43491 – Lỗ hổng thực thi mã từ xa qua Windows Update
- Điểm CVSS: 9.8
- Đây là lỗ hổng nghiêm trọng nhất trong số các lỗ hổng zero-day bị khai thác. Kẻ tấn công có thể khai thác lỗ hổng này từ xa, thông qua cơ chế Windows Update, để thực thi mã độc trên hệ thống của người dùng. Điều này đặc biệt nguy hiểm vì nó không yêu cầu kẻ tấn công có quyền truy cập cục bộ, mà chỉ cần khai thác lỗ hổng từ xa để xâm nhập hệ thống.
- Theo Microsoft, lỗ hổng này liên quan đến sự cố rollback của các bản vá trước đó, trong đó các bản vá cũ đã vô tình hoàn nguyên những biện pháp khắc phục lỗ hổng trước đây trên các hệ thống Windows 10 phiên bản 1507.
Khuyến nghị từ Microsoft
Để giải quyết các lỗ hổng này, Microsoft khuyến nghị người dùng cài đặt các bản cập nhật mới nhất càng sớm càng tốt. Đối với lỗ hổng CVE-2024-43491, Microsoft đã phát hành bản cập nhật Servicing Stack Update (SSU KB5043936) và Windows Security Update (KB5043083) cho tháng 9/2024. Người dùng nên cài đặt các bản cập nhật này theo thứ tự để đảm bảo hệ thống được bảo vệ tối ưu.
Lỗ Hổng CVE-2024-43461: Kẻ kấn công Void Banshee
Bên cạnh các lỗ hổng đã nêu trên, Microsoft còn tiết lộ thêm thông tin về lỗ hổng thứ tư CVE-2024-43461 (Điểm CVSS: 8.8), một lỗ hổng MSHTML platform spoofing. Lỗ hổng này đã bị khai thác bởi nhóm tấn công Void Banshee, sử dụng để phát tán phần mềm độc hại Atlantida stealer. Microsoft đã phát hiện rằng lỗ hổng này liên quan đến chuỗi tấn công trước đó, trong đó kẻ tấn công đã lợi dụng lỗ hổng CVE-2024-38112 từ tháng 7/2024. Dù đã được vá, chuỗi tấn công vẫn tiềm ẩn rủi ro nếu không cài đặt bản cập nhật bảo mật.
Bên cạnh Microsoft, nhiều nhà cung cấp phần mềm và dịch vụ khác cũng đã phát hành bản vá bảo mật trong những tuần gần đây để khắc phục các lỗ hổng nghiêm trọng, bao gồm:
- Adobe
- Cisco
- Google (Android, Chrome, và Pixel)
- HP, Dell, Lenovo
- NVIDIA
- Linux distributions (Amazon Linux, Debian, Red Hat, Ubuntu,…)
Việc khắc phục lỗ hổng trên các hệ thống phần mềm phổ biến này là vô cùng cần thiết để đảm bảo sự an toàn cho người dùng và hệ thống của họ.
Kết luận Patch Tuesday
Bản cập nhật Patch Tuesday tháng 9/2024 của Microsoft nhấn mạnh tính cấp thiết của việc cập nhật hệ thống bảo mật ngay lập tức. Với bốn lỗ hổng zero-day đã bị khai thác trong thực tế, nguy cơ từ các cuộc tấn công mạng là rất lớn. Các lỗ hổng này có thể cho phép kẻ tấn công từ xa chiếm quyền điều khiển hệ thống, thực thi mã độc, hoặc bỏ qua các tính năng bảo mật quan trọng. Do đó, việc cài đặt các bản vá mới nhất từ Microsoft và các nhà cung cấp khác là biện pháp cần thiết để bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa tiềm ẩn.
Người dùng và các tổ chức cần chú ý duy trì cập nhật hệ thống thường xuyên, đồng thời theo dõi các khuyến nghị bảo mật để đảm bảo rằng các lỗ hổng không bị khai thác trong môi trường của mình. Việc không cập nhật kịp thời có thể để lại những lỗ hổng lớn cho kẻ tấn công lợi dụng, gây ra những hậu quả nghiêm trọng cho an ninh mạng.
Mời các bạn tìm đọc bài viết Mã độc Hadooken trên Linux khai thác Oracle Weblogic để đào tiền điện tử.