microsoft hôm nay đã phát hành các bản cập nhật để bổ sung 50 lỗ hổng bảo mật trong các phiên bản khác nhau của Windows và phần mềm liên quan. Lô vá lỗi bao gồm một bản sửa lỗi cho một lỗ hổng trong cửa sổ 10 và máy chủ tương đương của hệ điều hành này đã đưa ra cảnh báo công khai chưa từng có từ Cơ quan an ninh quốc gia Hoa Kỳ. Tháng này cũng đánh dấu sự kết thúc của hỗ trợ chính cho cửa sổ 7, một hệ điều hành vẫn được sử dụng rộng rãi sẽ không còn được cung cấp các bản cập nhật bảo mật.
As báo cáo đầu tiên Thứ Hai của KrebsOnSecurity, Microsoft đã giải quyết một lỗi nghiêm trọng (CVE-2020-0601) trong cửa sổ 10 và Máy chủ Windows 2016/19 do NSA báo cáo cho phép kẻ tấn công giả mạo chữ ký điện tử gắn với một phần mềm cụ thể. Điểm yếu như vậy có thể bị những kẻ tấn công lợi dụng để làm cho phần mềm độc hại có vẻ là một chương trình lành tính được sản xuất và ký bởi một công ty phần mềm hợp pháp.
Một lời khuyên (PDF) được NSA công bố hôm nay cho biết lỗ hổng có thể có ý nghĩa bảo mật trên phạm vi rộng hơn, lưu ý rằng “việc khai thác lỗ hổng cho phép những kẻ tấn công đánh bại các kết nối mạng đáng tin cậy và cung cấp mã thực thi trong khi xuất hiện như các thực thể đáng tin cậy hợp pháp”.
“NSA đánh giá lỗ hổng bảo mật là nghiêm trọng và các tác nhân mạng tinh vi sẽ hiểu lỗ hổng cơ bản rất nhanh và nếu bị khai thác, sẽ khiến các nền tảng đã đề cập trước đây về cơ bản dễ bị tấn công”, lời khuyên tiếp tục. “Hậu quả của việc không vá lỗ hổng bảo mật là nghiêm trọng và phổ biến.”
Matthew Green, một phó giáo sư trong khoa khoa học máy tính tại Đại học Johns Hopkins, cho biết lỗ hổng liên quan đến điểm yếu triển khai rõ ràng trong một thành phần của các phiên bản Windows gần đây chịu trách nhiệm xác thực tính hợp pháp của các yêu cầu xác thực cho toàn bộ các chức năng bảo mật trong hệ điều hành.
Green cho biết những kẻ tấn công có thể sử dụng điểm yếu này để mạo danh mọi thứ từ các trang Web đáng tin cậy đến nguồn cập nhật phần mềm cho Windows và các chương trình khác.
“Hãy tưởng tượng nếu tôi muốn chọn ổ khóa ở cửa trước của bạn,” Green tương tự hóa. “Tôi có thể khó tìm ra chìa khóa mở cửa cho bạn, nhưng điều gì sẽ xảy ra nếu tôi có thể giả mạo hoặc xuất trình cả chìa khóa và ổ khóa cùng một lúc?”
Trắng, giám đốc bảo mật tại công ty phần mềm MongoDB, đánh đồng lỗ hổng bảo mật với một cuộc gọi điện thoại được chuyển đến một bên mà bạn không định liên lạc.
“Bạn nhấc điện thoại lên, quay một số và cho rằng bạn đang nói chuyện với ngân hàng hoặc Microsoft hoặc bất kỳ ai, nhưng phần mềm xác nhận người bạn đang nói chuyện lại bị lỗi,” White nói. “Điều đó khá tệ, đặc biệt là khi hệ thống của bạn thông báo tải xuống phần mềm hoặc bản vá này tự động và nó đang được thực hiện ở chế độ nền”.
Cả Green và White đều cho biết có khả năng sẽ mất vài giờ hoặc vài ngày trước khi các nhà nghiên cứu bảo mật và / hoặc kẻ xấu tìm ra cách để khai thác lỗi này, với những rủi ro liên quan. Thật vậy, tối nay KrebsOnSecurity đã thấy những dấu hiệu cho thấy mọi người đang trêu chọc các phương pháp như vậy, có thể sẽ sớm được đăng công khai trực tuyến.
Theo nhà cung cấp bảo mật Chất lượng, chỉ có 50 trong số XNUMX lỗi được sửa trong bản vá lỗi hôm nay của Microsoft nhận được xếp hạng "nghiêm trọng" nhất của công ty, một chỉ định dành riêng cho các lỗi có thể bị phần mềm độc hại hoặc kẻ gian lợi dụng từ xa để chiếm quyền kiểm soát hoàn toàn máy tính mục tiêu mà không cần bất kỳ sự trợ giúp nào từ người dùng.
Một lần nữa, một số lỗ hổng nghiêm trọng bao gồm các điểm yếu về bảo mật trong cách Windows triển khai kết nối Máy tính Từ xa, một tính năng cho phép hệ thống được truy cập, xem và điều khiển như thể người dùng đang ngồi trực tiếp trước máy tính từ xa. Các bản vá quan trọng khác bao gồm các bản cập nhật cho trình duyệt Web và công cụ tạo kịch bản web được tích hợp trong Windows, cũng như các bản sửa lỗi cho ASP.NET và NET Framework..
Bản sửa lỗi bảo mật cho lỗi CVE-2020-0601 và các lỗi khác được nêu chi tiết trong bài đăng này sẽ được cung cấp cho người dùng Windows như một phần của gói bản vá được Microsoft phát hành hôm nay. Để xem liệu có bất kỳ bản cập nhật nào cho máy tính Windows của bạn hay không, hãy chuyển đến menu Bắt đầu và nhập “Windows Update”, sau đó để hệ thống quét tìm bất kỳ bản vá lỗi nào có sẵn.
Hãy nhớ rằng mặc dù luôn bắt buộc phải cập nhật các bản vá lỗi của Windows, nhưng điều quan trọng là phải đảm bảo rằng bạn chỉ cập nhật sau khi đã sao lưu dữ liệu và tệp quan trọng của mình. Một bản sao lưu đáng tin cậy có nghĩa là bạn sẽ không bị mất trí khi bản vá lỗi kỳ lạ gây ra sự cố khởi động hệ thống. Vì vậy, hãy tự giúp mình và sao lưu các tệp của bạn trước khi cài đặt bất kỳ bản vá lỗi nào. Windows 10 thậm chí còn có một số công cụ tích hợp để giúp bạn làm điều đó, trên cơ sở mỗi tệp / thư mục hoặc bằng cách tạo một bản sao hoàn chỉnh và có khả năng khởi động của ổ cứng cùng một lúc.
Hôm nay cũng đánh dấu tháng cuối cùng Microsoft sẽ cung cấp các bản cập nhật bảo mật cho người dùng cá nhân / gia đình Windows 7. Tôi tự đếm mình trong số khoảng 30 phần trăm người dùng Windows vẫn thích và (ab) sử dụng hệ điều hành này dưới hình thức này hay hình thức khác, và thật buồn khi ngày này đã qua đi. Nhưng nếu bạn dựa vào hệ điều hành này để sử dụng hàng ngày, có lẽ đã đến lúc suy nghĩ về việc nâng cấp lên thứ gì đó mới hơn.
Đó có thể là một chiếc máy tính chạy Windows 10. Hoặc có thể bạn luôn muốn chiếc máy tính MacOS sáng bóng đó. Nếu chi phí là động lực chính và người dùng mà bạn nghĩ đến không làm gì nhiều với hệ thống ngoài việc duyệt Web, có lẽ Chromebook hoặc một máy cũ hơn với phiên bản gần đây của Linux là câu trả lời. Cho dù bạn chọn hệ thống nào, điều quan trọng là phải chọn một hệ thống phù hợp với nhu cầu của chủ sở hữu và cung cấp các bản cập nhật bảo mật liên tục.
Như mọi khi, nếu bạn gặp sự cố hoặc sự cố khi cài đặt bất kỳ bản vá nào trong tháng này, vui lòng xem xét để lại nhận xét về nó bên dưới; có một cơ hội tốt hơn cả những độc giả khác đã trải nghiệm tương tự và có thể kêu gọi ở đây với một số lời khuyên hữu ích.
tags: CVE-2020-0601, Đại học Johns Hopkins, Trắng, Matthew Green, MongoDB, Chất lượng, cửa sổ 10
Nguồn: https://krebsonsecurity.com/2020/01/patch-tuesday-january-2020-edition/
