Trong số tất cả những lỗi bảo mật được khắc phục trong tháng này, 4 lỗi được các chuyên gia đánh giá "Nghiêm trọng", 50 lỗi "Quan trọng" và chỉ có một lỗi ở mức độ "Trung bình".
Bản cập nhật bảo mật bao gồm các bản vá cho những sản phẩm là Microsoft Windows, Internet Explorer (IE), Microsoft Exchange Server, Microsoft Office, .NET Core và Visual Studio, SharePoint Server, Hyper-V, Open-Source Software, Skype for Business và Microsoft Lync.
Trong tháng 5, Microsoft đã phát hành các bản vá lỗi cho 3 lỗ hổng phần mềm Zero-day không được tiết lộ công khai, nhưng không rõ đã bị tin tặc khai thác tích cực trên mạng xã hội hay không.
Bản vá các lỗ hổng Zero - Day Patch Tuesday tháng 5 của MicroSoft. |
Một trong số những lỗ hổng được đặt chỉ mục là CVE-2021-31204, lỗi lỗ hổng đặc quyền ảnh hưởng đến .NET và Visual Studio.
Một lỗi zero-day khác, được lập chỉ mục là CVE-2021-31200 là lỗ hổng thực thi mã từ xa của những tiện ích phổ biến, ảnh hưởng đến bộ công cụ NNI (Neural Network Intelligence) của Microsoft. Chuyên gia bảo mật Abhiram V của Công ty Resec System phát hiện và thông báo cho MicroSoft.
Lỗ hổng zero-day thứ 3 được vá trong tháng 5 có chỉ mục là CVE-2021-31207. Đây là một lỗ hổng cho phép vượt qua tính năng bảo mật của Microsoft Exchange Server, được phát hiện trong cuộc thi hack máy tính PWN2OWN 2021.
Trong số tất cả các lỗi nghiêm trọng được sửa trong tháng này, CVE-2021-31166 được gắn cờ là ưu tiên cấp bách nhất đối với quản trị viên. Lỗi Chồng giao thức HTTP này ảnh hưởng đến Windows 10 và một số phiên bản của Windows Server, cho phép kẻ tấn công không xác thực (không đăng nhập) thực thi mã từ xa dưới dạng Nhân hệ điều hành.
Để khai thác lỗ hổng này, kẻ tấn công chỉ cần gửi một gói dữ liệu được chế tác đặc biệt tới một máy chủ bị ảnh hưởng. Theo Microsoft, lỗi này có khả năng bị phát tán dưới dạng sâu. Tin tặc có thể khai thác lỗ hổng này, tự sao chép trên mạng nội bộ và làm gián đoạn các dịch vụ mà quản trị mạng không thể phát hiện nguyên nhân.
Kevin Breen, Giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs cho biết, đối với các hackers sử dụng ransomware, loại lỗ hổng này là mục tiêu chính để khai thác. Do cách khai thác cụ thể này không yêu cầu bất kỳ hình thức xác thực (đăng nhập) nào, do đó rất hấp dẫn đối với những kẻ tấn công. Các tổ chức sử dụng Chồng giao thức HTTP.sys nên ưu tiên cài đặt bản vá lỗi này.
Microsofft cho biết, chỉ mục CVE-2021-26419 là một lỗi hỏng bộ nhớ công cụ tập lệnh, ảnh hưởng đến IE11. Tin tặc sẽ khai thác lỗi này khi người dùng truy cập trang web do kẻ tấn công kiểm soát, mặc dù lỗi cũng có thể bị kích hoạt bằng cách nhúng các điều khiển ActiveX vào Office Documents.
Lỗi nghiêm trọng thứ ba, chỉ mục CVE-2021-31194, tồn tại trong Microsoft Windows OLE Automation.
CVE-2021-28476 là một lỗi nghiêm trọng khác tồn tại trong Windows Hyper-V và cho phép kẻ tấn công thực thi mã tùy ý. Windows Hyper-V là trình siêu giám sát gốc của Microsoft có thể tạo và chạy các máy ảo trên hệ thống x86-64 chạy hệ điều hành Windows.
CVE-2021-31188 và CVE-2021-31170 là các lỗi báo cáo đặc quyền cục bộ tồn tại trong Cấu phần Đồ họa Windows. Microsoft cho rằng hai lỗ hổng này có nhiều khả năng bị khai thác bởi những kẻ tấn công mạng. Các lỗi bảo mật này do nhóm nghiên cứu ZeroDayInitiative (ZDI) phát hiện.
CVE-2021-28474 là một lỗ hổng sau xác thực (sau đăng nhập) có thể cho phép kẻ tấn công đã đăng nhập chạy mã tùy ý trên Máy chủ SharePoint từ xa.
Tháng 4/2021, Microsoft giải quyết 110 lỗ hổng bảo mật, trong đó có 19 lỗ hổng được đánh giá là "nghiêm trọng", còn lại là những lỗi "quan trọng".
Trước đó vào tháng 3, Microsoft cũng phát hành các bản cập nhật bảo mật bất thường, giải quyết 4 lỗ hổng zero-day, đang bị tin tặc lợi dụng để xâm nhập vào Exchange Server.