Thứ Ba tuần này, 2023-07-11, là ngày của Microsoft Patch Tuesday cho tháng 2023 năm XNUMX, vì vậy đây là lời nhắc ngắn gọn để thực hiện hai việc:

• Vá sớm, vá thường xuyên.

Hơn 100 lỗ hổng đã được vá trong tháng này, bao gồm XNUMX lỗ hổng bảo mật zero-day đã tồn tại mã khai thác đang hoạt động.

Mặc dù mọi người đều có nguy cơ cho đến thứ Ba, nhưng điều quan trọng là không trở thành một trong những người có nguy cơ lâu hơn mức cần thiết.

Khi những người bảo vệ bịt các lỗ hổng mà tội phạm mạng đang lạm dụng, bạn nên giả định một điều: những kẻ lừa đảo đó sẽ tập trung sự chú ý của chúng vào những kẻ đi lạc mà những cuộc tấn công hiện đã được vá này vẫn còn hiệu quả, để trích xuất “giá trị” cuối cùng từ lỗ hổng zero-day trước đây của họ.

• Hãy truy cập trang web chị em Sophos News của chúng tôi để biết thông tin chi tiết chính thức về các bản vá.

Chúng tôi đã xuất bản một danh sách dài không thể tránh khỏi, dựa trên dữ liệu chính thức của Microsoft, để giúp bạn điều hướng thông qua nhiều số CVE và giải thích lỗi liên quan đến nhiều sản phẩm và dịch vụ bị ảnh hưởng.

Chúng tôi nghĩ rằng bạn sẽ tìm thấy thông tin dễ dàng hơn để làm việc với, như một điểm khởi đầu, so với các bảng và biểu đồ của Redmond.

Chúng tôi cũng đã xuất bản một bài viết chuyên sâu về một vấn đề bảo mật đang diễn ra đủ nghiêm trọng để được giải quyết trong Tư vấn của Microsoft (ADV230001).

Chúng tôi đã cung cấp cho bạn thông tin chi tiết quan trọng, thú vị và đầy thông tin về câu chuyện đang diễn ra về các trình điều khiển nhân độc hại, nhiều trình điều khiển trong số chúng đã được ký và phê duyệt bởi chính Microsoft, những trình điều khiển này cuối cùng đã bị chặn bởi Windows.

Hai bài học nhanh

Như chúng tôi đã đề cập ở trên, bạn có thể đọc về bản sửa lỗi bảo mật tháng này của Microsoft trên Sophos News, nhưng có hai phần của bộ bản vá tháng này mà chúng tôi nghĩ rằng chúng tôi sẽ trình bày ở đây.

Mục quan trọng đầu tiên là vấn đề của những bốn ngày không mà chúng tôi đã đề cập đến.

CVE-2023-32049 và CVE-2023-35311 là các khai thác bỏ qua bảo mật, nghĩa là bọn tội phạm có thể lợi dụng các lỗi này để vượt qua các biện pháp bảo vệ an ninh mà nếu không sẽ nhảy vào để giúp bạn tránh lây nhiễm phần mềm độc hại hoặc một cuộc tấn công có thể xảy ra.

Giữa chúng, những lỗi này cho phép bọn tội phạm hiển thị cho bạn các URL trang web bị bẫy trong trình duyệt của bạn hoặc nội dung email độc hại trong Outlook, thường sẽ bật lên một cảnh báo để nhắc bạn về những rủi ro và cho bạn cơ hội thoát ra và bảo vệ chính mình…

…không hề có những cảnh báo đó xuất hiện.

Mặc dù lỗ hổng này không nguy hiểm bằng lỗ hổng thực thi mã từ xa (RCE) thực sự, nơi mà người bên ngoài có thể lừa bạn chạy một chương trình lừa đảo chỉ bằng cách xem một trang web hoặc bằng cách khởi động một dịch vụ mạng cụ thể, bạn có thể hiểu tại sao các lỗi bảo mật của loại này là bụi vàng đối với tội phạm mạng.

Bỏ qua các cảnh báo bảo mật mà người dùng mong đợi và có lẽ dựa vào, cung cấp một cách đơn giản và hiệu quả để thu hút ngay cả những người dùng cẩn thận và có đầy đủ thông tin mắc phải những sai lầm đắt giá.

Ngoài ra còn có các bản vá cho hai lần khai thác nâng cao đặc quyền (EoP) trong ngày.

Khai thác EoP có nghĩa là kẻ gian đã có trong mạng của bạn nhưng không có khả năng gây thiệt hại nhiều hoặc đánh cắp nhiều dữ liệu, có thể tự thăng cấp lên cấp quản trị viên hệ thống và do đó về cơ bản tự cấp huy hiệu bảo mật “truy cập vào tất cả các khu vực”.

Vấn đề lái xe tinh ranh

Mục quan trọng thứ hai là vấn đề ADV230001, tư vấn của Microsoft có tên Hướng dẫn về trình điều khiển có chữ ký của Microsoft đang được sử dụng với mục đích xấu.

Câu chuyện này bắt đầu trở lại vào cuối năm 2022, khi các nhà nghiên cứu của Sophos bắt gặp một thứ mà bạn không thường thấy ở bất kỳ đâu như trước đây, cụ thể là trình điều khiển nhân Windows giả mạo:

Điều tuyệt vời về trình điều khiển nhân là chúng cung cấp một cách để phần mềm bên thứ ba tham gia một cách hữu ích ở mức thấp nhất của hệ điều hành, chẳng hạn như hỗ trợ phần cứng máy tính bí truyền, cung cấp bảo vệ an ninh mạng bổ sung, theo dõi và quản lý các chi tiết vô hình bao gồm cấp phát bộ nhớ và sử dụng tài nguyên, v.v.

Ví dụ: một chương trình chống vi-rút cấp nhân có thể nhảy vào trước khi mọi chương trình chạy, và không chỉ báo cáo mà còn chủ động chặn hoàn toàn phần mềm giả mạo.

Điều không mấy tuyệt vời về trình điều khiển hạt nhân là chúng cung cấp các khả năng siêu cấp thấp, cực kỳ nguy hiểm và có khả năng lật đổ đối với những người tạo phần mềm độc hại và tội phạm mạng.

Thật vậy, các công cụ phần mềm độc hại cấp kernel, thường được gọi là rootkit, có thể hoạt động ngược lại với cùng một loại phép thuật cấp thấp, chẳng hạn như bằng cách theo dõi các chương trình xấu đã biết và ngăn chặn chúng ngay từ đầu, và thậm chí làm cho chúng dường như vô hình trước các công cụ quét, phần mềm liệt kê thư mục và hàng tồn kho -lấy các ứng dụng.

Tên rootkit xuất phát từ phần mềm độc hại Unix sớm và tham khảo ý tưởng về một bộ dụng cụ công cụ phần mềm giúp bạn không chỉ có được quyền truy cập cấp quản trị viên ngay từ đầu (được gọi là nguồn gốc trên Unix và các hệ thống tương tự Unix), mà còn không được chú ý càng lâu càng tốt.

kiểm soát trình điều khiển

Do sự gia tăng và lạm dụng rootkit trên Windows XP, Microsoft bắt đầu kiểm soát các trình điều khiển nhân, bắt đầu từ Windows Vista.

Thật vậy, trong các phiên bản Windows hiện tại có bật Khởi động an toàn, bạn chỉ có thể tải các trình điều khiển nhân đã được chính Microsoft xem xét và ký điện tử chính thức. (Có những ngoại lệ đối với quy tắc này, nhưng bạn không thể dễ dàng tạo và tải trình điều khiển nhân ngay hôm nay mà không gửi nó cho Microsoft để xem xét kỹ lưỡng trước.)

Mặc dù bạn có thể miễn cưỡng chấp nhận rằng các dịch vụ xác thực mã như App Store của Apple và Play Store của Google chắc chắn sẽ bị phần mềm độc hại xâm nhập, vì mục tiêu của họ là kiểm tra và phê duyệt số lượng lớn ứng dụng của bên thứ ba một cách nhanh chóng, tự động và khách quan…

…bạn có thể kỳ vọng một cách hợp lý rằng các trình điều khiển nhân, với sức mạnh nguy hiểm và độ hiếm tương đối của chúng so với các ứng dụng thông thường, sẽ khó có thể lọt qua quy trình kiểm tra của Windows.

Tuy nhiên, những khám phá về trình điều khiển lừa đảo vào tháng XNUMX năm ngoái của SophosLabs cuối cùng đã trở thành một danh sách quan trọng của phần mềm độc hại cấp nhân, bao gồm 100 trình điều khiển do chính Microsoft ký "cá nhân".

68 trong số các trình điều khiển giả mạo được Microsoft phê duyệt là các công cụ chống vi-rút, nhằm tiêu diệt phần mềm bảo mật “từ bên dưới” bằng cách lạm dụng sức mạnh và quyền hạn của hệ điều hành.

Phần còn lại là các rootkit tổng quát hơn nhằm theo dõi và thao túng dữ liệu bên trong hệ điều hành, nơi thông tin thân mật như các gói mạng riêng lẻ đến và từ mọi chương trình đang chạy có thể bị rình mò, theo dõi và lén lút thay đổi.

Để tìm hiểu thêm về cốt truyện hấp dẫn của những trình điều khiển phần mềm tội phạm đã ký sai này, vui lòng đọc bài viết của chúng tôi có tiêu đề Microsoft thu hồi trình điều khiển độc hại trong Patch Tuesday Culling:

Phải làm gì?

Chúng tôi đã nói điều đó ở trên cùng, mặc dù bằng những từ hơi khác nhau: Đừng trì hoãn; làm nó ngay hôm nay.

Nếu bạn chịu trách nhiệm cho máy tính của mình, chỉ cần truy cập Cài đặt > Windows Update > Kiểm tra cập nhật để xem bạn có cập nhật hay không.

Đừng quên rằng các bản cập nhật sẽ không được hoàn thành cho đến khi bạn khởi động lại máy tính của mình, vì vậy hãy cố gắng thực hiện điều đó càng sớm càng tốt.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/07/12/microsoft-patches-four-zero-days-finally-takes-action-against-crimeware-kernel-drivers/