Những bản vá khẩn cấp này được cập nhật trong vòng vài ngày kể từ khi bản vá lỗi Patch Tuesday của Microsoft, cập nhật tháng 10/2020, giải quyết tổng cộng 87 lỗ hổng bảo mật trên 12 sản phẩm.
Đó là các phần mềm như Microsoft Windows, Visual Studio, Microsoft Exchange Server , Microsoft Dynamics, Microsoft JET Database Engine, Microsoft Office và Microsoft Office Services và Web Apps, Open Source Software, Azure Functions, Microsoft. NET Framework, PowerShellGet, Adobe Flash Player và Microsoft Windows Codec Library.
Lỗi đầu tiên được lập chỉ mục là CVE-2020-17022, hiện có trong Thư viện Codec của Microsoft Windows. Lỗi bắt nguồn từ phương pháp mà Thư viện Codecs xử lý những đối tượng trong bộ nhớ. Để khai thác lỗi, kẻ tấn công trước tiên sẽ dùng một chương trình để xử lý tệp hình ảnh được chế tác đặc biệt.
Lỗ hổng thứ hai, được lập chỉ mục là CVE-2020-17023, tác động đến Visual Studio Code của Microsoft - trình soạn thảo mã nguồn miễn phí của Microsoft dành cho Windows, macOS và Linux. Để khai thác lỗi, kẻ tấn công trước tiên cần lừa người dùng sao chép kho lưu trữ và mở trong Visual Studio Code. Mã độc sẽ thực thi khi nạn nhân mở tệp 'package.json' độc hại.
Sau khi khai thác lỗ hổng, kẻ tấn công có thể chạy mã tùy ý. Nếu người dùng đăng nhập bằng đặc quyền quản trị, kẻ tấn công có thể chiếm quyền kiểm soát hệ thống mục tiêu, tạo tài khoản mới, cài đặt chương trình độc hại hoặc xem, sửa đổi và xóa dữ liệu.
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã khuyến cáo người dùng và quản trị viên chạy các bản vá phù hợp để ngăn chặn tin tặc tấn công đánh cắp thông tin nhạy cảm từ hệ thống.
Các bản cập nhật này được Microsoft đưa ra vào tuần trước khi một nhà nghiên cứu bảo mật cảnh báo, các tin tặc đang tìm cách khai thác lỗ hổng nghiêm trọng Zerologon để mở cửa hậu những máy chủ lưu trữ thông tin đăng nhập cho từng người dùng và tài khoản quản trị mạng.
Zerologon, được lập chỉ mục là CVE-2020-1472, là một lỗi nâng cao đặc quyền trong Netlogon Remote Protocol (MS-NRPC). Giao thức Từ xa Microsoft Windows Netlogon (MS-NRPC) là thành phần xác thực cốt lõi của Active Directory, cung cấp xác thực cho tài khoản người dùng và máy tính duy trì mối quan hệ giữa máy tính và miền, giữa các bộ điều khiển miền (DC) và miền.
Lỗ hổng phát sinh do một lỗi trong thuật toán mật mã, được sử dụng trong quá trình xác thực Netlogon. Lỗ hổng này cho phép kẻ tấn công mạo danh bất kỳ máy tính nào thực hiện các lệnh gọi thủ tục từ xa.
Kevin Beaumont, một nhà nghiên cứu bảo mật độc lập công bố một bài viết, đăng trên blog cho biết, gần đây ông đã triển khai honeypot để tìm hiểu cách tin tặc tấn công lỗi Zerologon trong điều kiện thông thường.
Beaumont cho biết, tin tặc sử dụng tập lệnh powershell để sửa đổi mật khẩu quản trị trong máy chủ honeypot. Máy chủ đã không được vá lỗ hổng bảo mật và mở một cửa hậu. Ông lưu ý, những lệnh của tin tặc chỉ mất vài giây để hoàn thành, cho phép tội phạm không gian mạng cài đặt máy chủ, có quyền truy cập quản trị từ xa vào các thiết bị trong mạng.
Trước đó, Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) đưa ra cảnh báo co các cơ quan, tổ chức về một lỗi RCE mới ảnh hưởng đến Microsoft SharePoint.
Được lập chỉ mục là CVE2020-16952, lỗi này cho phép kẻ tấn công chạy mã tùy ý trên các cài đặt SharePoint có lỗ hổng trên máy chủ và thực hiện các hành động không được bảo mật theo ngữ cảnh của quản trị viên mạng cục bộ.
NCSC khuyên cáo người dùng và quản trị viên chạy các bản cập nhật bảo mật thích hợp cho các sản phẩm SharePoint có lỗ hổng để bảo vệ dữ liệu nhạy cảm khỏi tin tặc.
