Đó là Tuần vá lỗi Thứ Ba (nếu bạn cho phép chúng tôi cập nhật hàng ngày) và các bản cập nhật của Microsoft bao gồm các bản sửa lỗi cho một số lỗ hổng bảo mật mà công ty đã đặt tên Quan trọng, cùng với bản sửa lỗi 0 ngày, mặc dù bản sửa lỗi XNUMX ngày chỉ được xếp hạng là Quan trọng.
Lỗ hổng 0 ngày có thể không còn là Nghiêm trọng vì đây không phải là lỗ hổng thực thi mã từ xa (RCE) hoàn toàn, nghĩa là lỗ hổng này không thể bị khai thác bởi người chưa xâm nhập vào máy tính của bạn.
Đó là CVE-2023-28252, một lỗi nâng cao đặc quyền (EoP) trong Trình điều khiển hệ thống tệp nhật ký chung của Windows.
Vấn đề với các lỗi Windows EoP, đặc biệt là trong các trình điều khiển được cài đặt theo mặc định trên mọi máy tính Windows, là chúng hầu như luôn cho phép những kẻ tấn công có ít hoặc không có đặc quyền truy cập đáng kể nào có thể tự thăng cấp trực tiếp lên SYSTEM tài khoản, cung cấp cho họ toàn quyền kiểm soát máy tính của bạn.
Các chương trình chạy như SYSTEM thường có thể: tải và dỡ bỏ trình điều khiển hạt nhân; cài đặt, dừng và khởi động các dịch vụ hệ thống; đọc và ghi hầu hết các tệp trên máy tính; thay đổi các đặc quyền truy cập hiện có; chạy hoặc tắt các chương trình khác; theo dõi các chương trình khác; lộn xộn với các phần an toàn của sổ đăng ký; và nhiều hơn nữa.
Trớ trêu thay, Hệ thống tệp nhật ký chung (CLFS) được thiết kế để chấp nhận và quản lý các yêu cầu ghi nhật ký chính thức thay mặt cho bất kỳ dịch vụ hoặc ứng dụng nào trên máy tính, nhằm đảm bảo trật tự, chính xác, nhất quán và bảo mật trong việc lưu giữ hồ sơ ở cấp hệ thống chính thức.
Hai hố Critical có điểm số cao
Hai lỗi nghiêm trọng đặc biệt thu hút sự quan tâm của chúng tôi.
Đầu tiên là CVE-2023-21554, một lỗ RCE trong Hàng đợi tin nhắn của Microsoft hệ thống, hoặc MSMQ, một thành phần được cho là cung cấp một cách an toàn để các chương trình giao tiếp một cách đáng tin cậy, bất kể loại kết nối mạng nào tồn tại giữa chúng.
Dịch vụ MSMQ không được bật theo mặc định, nhưng trong các hệ thống phụ trợ có độ tin cậy cao nơi các thông báo mạng TCP hoặc UDP thông thường không được coi là đủ mạnh, bạn có thể đã bật MSMQ.
(của Microsoft ví dụ riêng trong số các ứng dụng có thể hưởng lợi từ MSMQ bao gồm các dịch vụ xử lý tài chính trên nền tảng thương mại điện tử và hệ thống xử lý hành lý tại sân bay.)
Thật không may, mặc dù lỗi này không có trong tự nhiên, nhưng nó đã nhận được xếp hạng Nghiêm trọng và "điểm nguy hiểm" CVSS là 9.8/10.
Mô tả lỗi hai câu của Microsoft nói đơn giản:
Để khai thác lỗ hổng này, kẻ tấn công sẽ cần gửi một gói MSMQ độc hại được chế tạo đặc biệt đến máy chủ MSMQ. Điều này có thể dẫn đến việc thực thi mã từ xa ở phía máy chủ.
Dựa trên điểm số CVSS cao và những gì Microsoft không đề cập trong phần mô tả ở trên, chúng tôi cho rằng những kẻ tấn công khai thác lỗ hổng này sẽ không cần phải đăng nhập hoặc phải trải qua bất kỳ quy trình xác thực nào trước.
DHCP nguy hiểm
Lỗi nghiêm trọng thứ hai khiến chúng tôi chú ý là CVE-2023-28231, một lỗ hổng RCE trong Microsoft Dịch vụ máy chủ DHCP.
DHCP là viết tắt của giao thức cấu hình máy chủ độngvà nó được sử dụng trong hầu hết các mạng Windows để phân phát địa chỉ mạng (số IP) cho các máy tính kết nối với mạng.
Điều này giúp ngăn hai người dùng vô tình cố gắng sử dụng cùng một số IP (điều này sẽ khiến các gói mạng của họ xung đột với nhau), cũng như theo dõi thiết bị nào được kết nối bất cứ lúc nào.
Thông thường, lỗi thực thi mã từ xa trong máy chủ DHCP là cực kỳ nguy hiểm, mặc dù máy chủ DHCP thường chỉ hoạt động trên mạng cục bộ chứ không hoạt động trên internet.
Đó là vì DHCP được thiết kế để trao đổi các gói mạng, như một phần trong “điệu nhảy cấu hình” của nó, không chỉ trước khi bạn nhập mật khẩu hoặc trước khi bạn cung cấp tên người dùng, mà còn là bước đầu tiên để máy tính của bạn trực tuyến ở cấp độ mạng.
Nói cách khác, các máy chủ DHCP phải đủ mạnh để chấp nhận và trả lời các gói từ các thiết bị không xác định và không đáng tin cậy, chỉ để đưa mạng của bạn đến mức có thể bắt đầu quyết định mức độ tin cậy đặt vào chúng.
Tuy nhiên, may mắn thay, lỗi cụ thể này có số điểm thấp hơn một chút so với lỗi MSMQ đã nói ở trên (mức độ nguy hiểm CVSS của nó là 8.8/10) vì nó nằm trong một phần của dịch vụ DHCP mà chỉ có thể truy cập được từ máy tính của bạn sau khi bạn đã đăng nhập.
Theo lời của Microsoft:
Kẻ tấn công được xác thực có thể tận dụng cuộc gọi RPC được chế tạo đặc biệt tới dịch vụ DHCP để khai thác lỗ hổng này.
Việc khai thác thành công lỗ hổng này yêu cầu kẻ tấn công trước tiên phải có quyền truy cập vào mạng bị hạn chế trước khi thực hiện một cuộc tấn công.
Khi Secure Boot chỉ là Boot
Hai lỗi cuối cùng khiến chúng tôi tò mò là CVE-2023-28249 và CVE-2023-28269, cả hai đều được liệt kê dưới tiêu đề Lỗ hổng bỏ qua tính năng bảo mật của Windows Boot Manager.
Theo Microsoft:
Kẻ tấn công đã khai thác thành công [những lỗ hổng này] có thể bỏ qua Khởi động an toàn để chạy mã trái phép. Để thành công, kẻ tấn công cần có quyền truy cập vật lý hoặc quyền quản trị viên.
Trớ trêu thay, mục đích chính của hệ thống Khởi động an toàn được ca ngợi nhiều là nó được cho là giúp bạn giữ máy tính của mình theo một lộ trình nghiêm ngặt và vững chắc từ khi bạn bật nó lên cho đến khi Windows nắm quyền kiểm soát.
Thật vậy, Khởi động an toàn được cho là ngăn chặn những kẻ tấn công đánh cắp máy tính của bạn tiêm bất kỳ mã bẫy booby nào có thể sửa đổi hoặc phá hoại chính quá trình khởi động ban đầu, một thủ thuật được biết đến trong biệt ngữ là bộ khởi động.
Các ví dụ bao gồm ghi nhật ký bí mật các tổ hợp phím bạn nhập khi nhập mã mở khóa mã hóa ổ đĩa BitLocker (không có mã này thì Windows không thể khởi động được) hoặc lén lút nạp các cung đĩa đã sửa đổi vào mã bộ nạp khởi động đọc trong nhân Windows để nó khởi động không an toàn.
Loại phản bội này thường được gọi là tấn công “dọn dẹp ác quỷ”, dựa trên kịch bản rằng bất kỳ ai có quyền truy cập chính thức vào phòng khách sạn của bạn khi bạn ra ngoài, chẳng hạn như một kẻ dọn dẹp phản bội, có thể tiêm bootkit một cách kín đáo, ví dụ bằng cách khởi động nhanh máy tính xách tay của bạn từ ổ USB và để một tập lệnh tự động thực hiện công việc bẩn thỉu…
…và sau đó sử dụng một thủ thuật nhanh chóng và thuận tiện tương tự vào ngày hôm sau để truy xuất dữ liệu bị đánh cắp chẳng hạn như thao tác gõ phím và xóa mọi bằng chứng cho thấy bộ công cụ khởi động đã từng ở đó.
Nói cách khác, Khởi động an toàn có nghĩa là giữ an toàn cho máy tính xách tay được mã hóa đúng cách khỏi bị phá hoại – thậm chí, hoặc có lẽ đặc biệt là bởi tội phạm mạng có quyền truy cập vật lý vào nó.
Vì vậy, nếu chúng tôi có một máy tính Windows để sử dụng hàng ngày, chúng tôi sẽ vá những lỗi này như thể chúng là Nghiêm trọng, mặc dù xếp hạng của riêng Microsoft chỉ là Quan trọng.
Phải làm gì?
- Vá ngay bây giờ. Với một zero-day đã bị bọn tội phạm khai thác, hai lỗi nghiêm trọng có điểm CVSS cao có thể dẫn đến việc cấy ghép phần mềm độc hại từ xa và hai lỗi có thể loại bỏ Secure khỏi Khởi động an toàn, tại sao phải trì hoãn? Chỉ cần làm điều đó ngày hôm nay!
- Đọc Báo cáo của SophosLabs xem xét các bản vá của tháng này rộng hơn. Với 97 CVE được vá hoàn toàn trong chính Windows, Visual Studio Code, SQL Server, Sharepoint và nhiều thành phần khác, còn rất nhiều lỗi mà quản trị viên hệ thống cần biết.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/04/12/microsoft-fixes-a-zero-day-and-two-curious-bugs-that-take-the-secure-out-of-secure-boot/
