Microsoft đã phát hành các bản sửa lỗi cho 48 lỗ hổng mới trên các sản phẩm của mình, bao gồm một lỗ hổng mà những kẻ tấn công đang tích cực khai thác và một lỗ hổng khác đã được tiết lộ công khai nhưng hiện không được khai thác tích cực.
Sáu trong số các lỗ hổng mà công ty đã vá trong bản cập nhật bảo mật hàng tháng cuối cùng trong năm được liệt kê là nghiêm trọng. Nó đã chỉ định một đánh giá mức độ nghiêm trọng quan trọng cho 43 lỗ hổng và đưa ra ba lỗ hổng đánh giá mức độ nghiêm trọng vừa phải.
cập nhật của Microsoft bao gồm các bản vá cho các CVE ngoài băng tần mà nó đã giải quyết trong tháng qua, cùng với 23 lỗ hổng trong công nghệ trình duyệt Chromium của Google, nền tảng của trình duyệt Edge của Microsoft.
Tích cực khai thác lỗi bảo mật
Lỗ hổng mà kẻ tấn công đang tích cực khai thác (CVE-2022-44698) không phải là một trong những lỗi nghiêm trọng hơn mà Microsoft đã phát hành các bản vá ngày hôm nay. Lỗ hổng cung cấp cho kẻ tấn công một cách để vượt qua tính năng bảo mật Windows SmartScreen để bảo vệ người dùng khỏi các tệp độc hại được tải xuống từ Internet.
Microsoft cho biết: “Kẻ tấn công có thể tạo một tệp độc hại để trốn tránh các biện pháp bảo vệ Mark of the Web (MOTW), dẫn đến việc mất tính toàn vẹn và tính sẵn có của các tính năng bảo mật như Chế độ xem được bảo vệ trong Microsoft Office, dựa trên việc gắn thẻ MOTW.
Kevin Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết CVE-2022-44698 chỉ gây rủi ro tương đối nhỏ cho các tổ chức. Breen nói: “Nó phải được sử dụng cùng với một tệp thực thi hoặc mã độc hại khác như tệp tài liệu hoặc tập lệnh. “Trong những tình huống này, CVE này bỏ qua một số tính năng quét và phát hiện danh tiếng tích hợp sẵn của Microsoft — cụ thể là SmartScreen, tính năng này thường bật lên để báo cho người dùng biết rằng tệp có thể không an toàn.”
Đồng thời, người dùng không nên đánh giá thấp mối đe dọa này và nên nhanh chóng khắc phục sự cố, Breen khuyến nghị.
Microsoft đã mô tả một lỗ hổng khác — vấn đề nâng cao đặc quyền trong nhân DirectX Graphics — dưới dạng lỗ hổng zero-day được biết đến rộng rãi nhưng không bị khai thác tích cực. Công ty đã đánh giá lỗ hổng (CVE-2022-44710) là mức độ nghiêm trọng “Quan trọng” và là mức độ nghiêm trọng sẽ cho phép kẻ tấn công giành được các đặc quyền cấp hệ thống nếu bị khai thác. Tuy nhiên, công ty mô tả lỗ hổng này là một lỗ hổng mà những kẻ tấn công ít có khả năng khai thác hơn.
Lỗ hổng cần vá ngay
ZDI của Trend Micro đã đánh dấu ba lỗ hổng khác trong bản cập nhật bảo mật Patch Tuesday tháng XNUMX là nghiêm trọng: CVE-2022-44713, CVE-2022-41076và CVE-2022-44699.
CVE-2022-44713 là một lỗ hổng giả mạo trong Microsoft Outlook cho Mac. Lỗ hổng bảo mật cho phép kẻ tấn công xuất hiện dưới dạng người dùng đáng tin cậy và khiến nạn nhân nhầm thư email như thể nó đến từ người dùng hợp pháp.
“Chúng tôi không thường làm nổi bật các lỗi giả mạo, nhưng bất cứ khi nào bạn xử lý một lỗi giả mạo trong ứng dụng email, bạn nên chú ý,” người đứng đầu bộ phận nhận thức về mối đe dọa của ZDI, Dustin Childs nói trong một bài đăng trên blog. Ông nói:
Microsoft cho biết CVE-2022-41076 là lỗ hổng thực thi mã từ xa PowerShell (RCE), cho phép kẻ tấn công được xác thực thoát khỏi Cấu hình phiên từ xa PowerShell và chạy các lệnh tùy ý trên hệ thống bị ảnh hưởng.
Công ty đã đánh giá lỗ hổng này là thứ mà những kẻ tấn công có nhiều khả năng thỏa hiệp hơn, mặc dù bản thân độ phức tạp của cuộc tấn công đã cao. Theo Childs, các tổ chức nên chú ý đến lỗ hổng này vì đây là loại lỗ hổng mà những kẻ tấn công thường khai thác khi tìm cách “sống nhờ” sau khi giành được quyền truy cập ban đầu vào mạng.
“Chắc chắn đừng bỏ qua bản vá này,” Childs viết.
Và cuối cùng, CVE-2022-44699 là một lỗ hổng bảo mật khác — lần này là trong Azure Network Watcher Agent - điều đó, nếu bị khai thác, có thể ảnh hưởng đến khả năng thu thập nhật ký cần thiết của tổ chức để ứng phó sự cố.
Childs cho biết: “Có thể không có nhiều doanh nghiệp dựa vào công cụ này, nhưng đối với những người sử dụng tiện ích mở rộng máy ảo [Azure Network Watcher] này, bản sửa lỗi này nên được coi là quan trọng và được triển khai nhanh chóng.
Các nhà nghiên cứu với Cisco Talos xác định ba lỗ hổng khác quan trọng và các vấn đề mà các tổ chức cần phải giải quyết ngay lập tức. Một trong số đó là CVE-2022-41127, một lỗ hổng RCE ảnh hưởng đến Microsoft Dynamics NAV và các phiên bản tại chỗ của Microsoft Dynamics 365 Business Central. Một khai thác thành công có thể cho phép kẻ tấn công thực thi mã tùy ý trên các máy chủ chạy ứng dụng Dynamics NAV ERP của Microsoft, các nhà nghiên cứu của Talos cho biết trong một bài đăng trên blog.
Hai lỗ hổng khác mà nhà cung cấp coi là có tầm quan trọng cao là CVE-2022-44670 và CVE-2022-44676, cả hai đều là lỗi RCE trong Giao thức đường hầm ổ cắm bảo mật Windows (SSTP).
“Việc khai thác thành công các lỗ hổng này yêu cầu kẻ tấn công giành được điều kiện chạy đua nhưng có thể cho phép kẻ tấn công thực thi mã từ xa trên máy chủ RAS,” theo lời khuyên của Microsoft.
Trong số các lỗ hổng mà Trung tâm Bão Internet SANS được xác định là quan trọng là (CVE-2022-41089), một RCE trong .NET Framework và (CVE-2022-44690) trong Microsoft SharePoint Server.
Trong một blog đăng bài, Mike Walters, phó chủ tịch nghiên cứu lỗ hổng và mối đe dọa tại Action1 Corp., cũng chỉ ra lỗ hổng nâng cao đặc quyền Windows Print Spooler (CVE-2022-44678), như một vấn đề khác xem.
“CVE-2022-44678 mới được giải quyết có nhiều khả năng bị khai thác nhất, điều này có thể đúng vì Microsoft đã sửa một lỗ hổng zero-day khác liên quan đến Print Spooler vào tháng trước,” Walters cho biết. “Rủi ro từ CVE-2022-44678 là như nhau: kẻ tấn công có thể nhận được các đặc quyền HỆ THỐNG sau khi khai thác thành công - nhưng chỉ ở địa phương.”
Số lỗi khó hiểu
Thật thú vị, một số nhà cung cấp đã có những cách xử lý khác nhau về số lượng lỗ hổng mà Microsoft đã vá trong tháng này. Chẳng hạn, ZDI đã đánh giá rằng Microsoft đã vá 52 lỗ hổng; Talos đã chốt số ở mức 48, SANS ở mức 74 và Action1 ban đầu được Microsoft vá 74, trước khi sửa đổi xuống còn 52.
Johannes Ullrich, trưởng khoa nghiên cứu của Viện Công nghệ SANS, cho biết vấn đề liên quan đến những cách khác nhau mà người ta có thể đếm các lỗ hổng. Ví dụ: một số bao gồm các lỗ hổng Chromium trong khi một số khác thì không.
Những người khác, như SANS, cũng bao gồm các lời khuyên bảo mật đôi khi đi kèm với các bản cập nhật của Microsoft dưới dạng lỗ hổng. Đôi khi, Microsoft cũng phát hành các bản vá trong tháng, bản vá này cũng bao gồm trong bản cập nhật Bản vá Thứ Ba sau đây và một số nhà nghiên cứu không tính những bản vá này.
Breen nói: “Số lượng bản vá đôi khi có thể gây nhầm lẫn, vì chu kỳ của Bản vá Thứ Ba về mặt kỹ thuật là từ tháng XNUMX đến tháng XNUMX, do đó, điều này cũng sẽ bao gồm các bản vá đã được phát hành ngoài ban nhạc vào đầu tháng và cũng có thể bao gồm các bản cập nhật từ các nhà cung cấp bên thứ ba,” Breen nói. . “Đáng chú ý nhất trong số này là các bản vá của Google từ Chromium, nền tảng cho trình duyệt Edge của Microsoft.”
Breen cho biết theo số lượng của anh ấy, có 74 lỗ hổng được vá kể từ Bản vá thứ Ba cuối cùng vào tháng 51. Điều này bao gồm 23 từ Microsoft và XNUMX từ Google cho trình duyệt Edge.
Ông nói: “Nếu chúng tôi loại trừ cả [bản vá] ngoài băng tần và Google Chromium, thì 49 bản vá lỗ hổng đã được phát hành ngày hôm nay.
Một phát ngôn viên của Microsoft cho biết số lượng CVE mới mà công ty đã phát hành các bản vá hôm nay là 48.
