Microsoft phát hành các bản vá bảo mật cho 89 Flaws - IE zero-day đang bị tấn công

Microsoft đã cài tới 89 bản vá lỗi bảo mật như một phần của bản cập nhật Patch Friday hàng tháng được phát hành hôm nay, bao gồm các bản sửa lỗi cho zero-day bị khai thác tích cực trong Internet Explorer có thể cho phép kẻ tấn công chạy mã tùy ý trên các máy mục tiêu.

Trong số các lỗi này, 14 lỗi được liệt kê là Nghiêm trọng và 75 lỗi được liệt kê là Quan trọng về mức độ nghiêm trọng, trong đó hai trong số các lỗi được mô tả là đã biết công khai, trong khi 5 lỗi khác đã được báo cáo là đang bị tấn công tích cực tại thời điểm phát hành.

Trong số năm vấn đề bảo mật đó là một loạt các lỗ hổng được gọi là ProxyLogon (CVE-2021-26855, 2021-26857, CVE-2021-26858 và CVE-2021-27065) cho phép kẻ thù đột nhập vào Máy chủ Microsoft Exchange trong môi trường mục tiêu và sau đó cho phép cài đặt các cửa hậu trái phép dựa trên web để tạo điều kiện truy cập lâu dài.

Nhưng trong bối cảnh các máy chủ Exchange bị tấn công bừa bãi vào cuối tháng 2 bởi nhiều nhóm đe dọa đang tìm cách khai thác các lỗ hổng và trồng các cửa hậu trên mạng công ty, Microsoft đã thực hiện một bước bất thường là phát hành các bản sửa lỗi ngoài băng tần sớm hơn một tuần so với kế hoạch. .

Việc gia tăng khai thác hàng loạt sau khi Microsoft phát hành bản cập nhật của mình vào ngày 2 tháng 3 đã khiến công ty triển khai một loạt bản cập nhật bảo mật khác nhắm vào các bản cập nhật tích lũy cũ hơn và không được hỗ trợ dễ bị tấn công ProxyLogon.

Cũng bao gồm trong hỗn hợp này là một bản vá cho zero-day trong Internet Explorer (CVE-2021-26411) đã được phát hiện là do tin tặc Triều Tiên khai thác để xâm phạm các nhà nghiên cứu bảo mật đang nghiên cứu và phát triển lỗ hổng bảo mật vào đầu năm nay.

Công ty an ninh mạng ENKI của Hàn Quốc, đã công khai lỗ hổng vào đầu tháng trước, tuyên bố rằng các tin tặc quốc gia Triều Tiên đã cố gắng không thành công khi nhắm mục tiêu các nhà nghiên cứu bảo mật của họ bằng các tệp MHTML độc hại, khi mở ra, tải xuống hai tệp tin từ một máy chủ từ xa trong đó có một ngày 0 chống lại Internet Explorer.

Bên cạnh các lỗ hổng được khai thác tích cực này, bản cập nhật cũng sửa một số lỗi thực thi mã từ xa (RCE) trong Windows DNS Server (CVE-2021-26877 và CVE-2021-26897, điểm CVSS 9,8), máy chủ Hyper-V (CVE- 2021-26867, điểm CVSS 9,9), SharePoint Server (CVE-2021-27076, điểm CVSS 8,8) và Azure Sphere (CVE-2021-27080, điểm CVSS 9,3).

CVE-2021-26877 và CVE-2021-26897 đáng chú ý vì một số lý do. Trước hết, các lỗ hổng này được Microsoft đánh giá là "có nhiều khả năng bị khai thác" và được phân loại là lỗ hổng zero-click có độ phức tạp tấn công thấp, không yêu cầu người dùng tương tác.

Theo McAfee, các lỗ hổng bắt nguồn từ việc đọc ngoài giới hạn (CVE-2021-26877) và ghi ngoài giới hạn (CVE-2021-26897) trên heap, tương ứng trong quá trình xử lý các gói Cập nhật động, dẫn đến khả năng tùy ý đọc và RCE.

Hơn nữa, đây cũng là lần thứ hai liên tiếp Microsoft giải quyết một lỗ hổng RCE nghiêm trọng trong Windows DNS Server. Tháng trước, công ty đã tung ra bản sửa lỗi cho CVE-2021-24078 trong cùng một thành phần, nếu chưa được vá, có thể cho phép một bên trái phép thực thi mã tùy ý và có khả năng chuyển hướng lưu lượng truy cập hợp pháp đến các máy chủ độc hại.

Để cài đặt các bản cập nhật bảo mật mới nhất, người dùng Windows có thể đi tới Start > Settings > Update & Security > Windows Update hoặc bằng cách chọn Check for Windows updates.

Theo The Hacker News