Microsoft đã phát hành các bản sửa lỗi để giải quyết 63 lỗi bảo mật trong phần mềm của mình trong tháng 11 năm 2023, bao gồm ba lỗ hổng đang bị khai thác rộng rãi. Trong số 63 lỗ hổng, có 3 lỗi được xếp hạng Nghiêm trọng, 56 lỗi được xếp hạng Quan trọng và 4 lỗi được đánh giá ở mức độ nghiêm trọng Trung bình. Hai trong số đó đã được liệt kê là được biết đến rộng rãi tại thời điểm phát hành.
Các bản cập nhật này cùng với hơn 35 thiếu sót bảo mật đã được giải quyết trong trình duyệt Edge dựa trên Chrome kể từ khi phát hành bản cập nhật vào tháng 10 năm 2023. 5 Zero-days đáng chú ý như sau:
- CVE-2023-36025 (điểm CVSS: 8.8) – Lỗ hổng vượt qua tính năng bảo mật Windows SmartScreen
- CVE-2023-36033 (điểm CVSS: 7.8) – Mức độ cao của lỗ hổng đặc quyền trong Thư viện Windows DWM Core
- CVE-2023-36036 (điểm CVSS: 7.8) – Trình điều khiển bộ lọc mini của Windows Cloud Files Độ cao của lỗ hổng đặc quyền
- CVE-2023-36038 (điểm CVSS: 8.2) – Lỗ hổng từ chối dịch vụ lõi ASP.NET
- CVE-2023-36413 (điểm CVSS: 6.5) – Lỗ hổng bỏ qua tính năng bảo mật của Microsoft Office
Cả CVE-2023-36033 và CVE-2023-36036 đều có thể bị kẻ tấn công khai thác để giành được các đặc quyền HỆ THỐNG, trong khi CVE-2023-36025 có thể giúp vượt qua các bước kiểm tra SmartScreen của Windows Defender và các lời nhắc liên quan của chúng. Microsoft cho biết về CVE-2023-36025: “Người dùng sẽ phải nhấp vào một Lối tắt Internet (.URL) được tạo đặc biệt hoặc một siêu liên kết trỏ đến tệp Lối tắt Internet để kẻ tấn công có thể xâm phạm”. Tuy nhiên, nhà sản xuất Windows đã không cung cấp thêm bất kỳ hướng dẫn nào về các cơ chế tấn công được sử dụng và các tác nhân đe dọa có thể vũ khí hóa chúng. Tuy nhiên, việc khai thác tích cực các lỗ hổng leo thang đặc quyền cho thấy rằng chúng có thể được sử dụng cùng với lỗi thực thi mã từ xa.
Satnam Narang, kỹ sư nghiên cứu cấp cao của Tenable, cho biết: “Đã có 12 lỗ hổng nâng cao đặc quyền trong Thư viện lõi DWM trong hai năm qua, mặc dù đây là lần đầu tiên bị khai thác ngoài tự nhiên dưới dạng zero-day”. Sự phát triển này đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) bổ sung ba vấn đề vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), kêu gọi các cơ quan liên bang áp dụng các bản sửa lỗi trước ngày 5 tháng 12 năm 2023.
Cũng được Microsoft vá là hai lỗi thực thi mã từ xa nghiêm trọng trong Giao thức xác thực mở rộng được bảo vệ và Multicast chung thực dụng ( CVE-2023-36028 và CVE-2023-36397 , điểm CVSS: 9,8) mà kẻ đe dọa có thể tận dụng để kích hoạt việc thực thi mã độc mã số.
Bản cập nhật tháng 11 còn bao gồm một bản vá cho CVE-2023-38545 (điểm CVSS: 9,8), một lỗ hổng tràn bộ đệm dựa trên heap nghiêm trọng trong thư viện Curl được phát hiện vào tháng trước, cũng như lỗ hổng tiết lộ thông tin trong Azure CLI ( CVE-2023-36052 , điểm CVSS: 8,6).
Microsoft cho biết: “Kẻ tấn công khai thác thành công lỗ hổng này có thể khôi phục mật khẩu và tên người dùng dạng văn bản gốc từ các tệp nhật ký được tạo bởi các lệnh CLI bị ảnh hưởng và được xuất bản bởi Azure DevOps và/hoặc GitHub Actions”.
Nhà nghiên cứu Aviad Hahami của Palo Alto Networks, người đã báo cáo vấn đề này, cho biết lỗ hổng này có thể cho phép truy cập vào thông tin xác thực được lưu trữ trong nhật ký của đường ống và cho phép kẻ thù có khả năng leo thang đặc quyền của họ cho các cuộc tấn công tiếp theo. Đáp lại, Microsoft cho biết họ đã thực hiện các thay đổi đối với một số lệnh Azure CLI để tăng cường bảo mật cho Azure CLI (phiên bản 2.54) trước việc vô tình sử dụng có thể dẫn đến lộ bí mật.
Bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm:
- Adobe
- AMD (bao gồm CacheWarp)
- Android
- Apache Projects
- Apple
- Aruba Networks
- Arm
- ASUS
- Atlassian
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Intel
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, và Ubuntu
- MediaTek
- Mitsubishi Electric
- NETGEAR
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- SysAid
- Trend Micro
- Veeam
- Veritas
- VMware
- WordPress
- Zimbra
- Zoom
- Zyxel
Nguồn: The Hacker News