Microsoft sửa 90 lỗi mới, bao gồm lỗi NTLM và lỗi Task Scheduler đang bị khai thác tích cực

Hôm thứ Ba, Microsoft tiết lộ rằng hai lỗ hổng bảo mật ảnh hưởng đến Windows NT LAN Manager (NTLM) và Task Scheduler đã bị khai thác tích cực trong thực tế.

Các lỗ hổng bảo mật này nằm trong số 90 lỗi bảo mật mà gã khổng lồ công nghệ đã giải quyết như một phần của bản cập nhật Patch Tuesday cho tháng 11 năm 2024. Trong số 90 lỗ hổng, bốn lỗ hổng được đánh giá là Nghiêm trọng, 85 lỗ hổng được đánh giá là Quan trọng và một lỗ hổng được đánh giá là Trung bình về mức độ nghiêm trọng. Năm mươi hai lỗ hổng được vá là lỗ hổng thực thi mã từ xa.

Các bản sửa lỗi này nằm ngoài 31 lỗ hổng mà Microsoft đã giải quyết trong trình duyệt Edge dựa trên Chromium kể từ khi phát hành bản cập nhật Patch Tuesday tháng 10 năm 2024. Hai lỗ hổng đã được liệt kê là đang bị khai thác tích cực như sau -

CVE-2024-43451 (Điểm CVSS: 6,5) - Lỗ hổng giả mạo tiết lộ băm NTLM của Windows

CVE-2024-49039 (Điểm CVSS: 8,8) - Lỗ hổng nâng cao đặc quyền của Windows Task Scheduler

"Lỗ hổng này tiết lộ băm NTLMv2 của người dùng cho kẻ tấn công, kẻ này có thể sử dụng thông tin này để xác thực với tư cách là người dùng", Microsoft cho biết trong một khuyến cáo về CVE-2024-43451, ghi nhận công lao của nhà nghiên cứu Israel Yeshurun ​​của ClearSky trong việc phát hiện và báo cáo lỗ hổng.

Cần lưu ý rằng CVE-2024-43451 là lỗ hổng thứ ba sau CVE-2024-21410 (đã vá vào tháng 2) và CVE-2024-38021 (đã vá vào tháng 7) có thể được sử dụng để tiết lộ hàm băm NTLMv2 của người dùng và đã bị khai thác trong thực tế chỉ trong năm nay.

"Những kẻ tấn công vẫn kiên quyết phát hiện và khai thác các lỗ hổng zero-day có thể tiết lộ hàm băm NTLMv2, vì chúng có thể được sử dụng để xác thực với các hệ thống và có khả năng di chuyển ngang trong mạng để truy cập các hệ thống khác", Satnam Narang, kỹ sư nghiên cứu nhân viên cấp cao tại Tenable, cho biết trong một tuyên bố.

Mặt khác, CVE-2024-49039 có thể cho phép kẻ tấn công thực thi các chức năng RPC vốn bị hạn chế đối với các tài khoản có đặc quyền. Tuy nhiên, Microsoft lưu ý rằng việc khai thác thành công đòi hỏi kẻ tấn công đã xác thực phải chạy một ứng dụng được thiết kế đặc biệt trên hệ thống mục tiêu để trước tiên nâng cao đặc quyền của chúng lên Mức toàn vẹn trung bình.

Vlad Stolyarov và Bahare Sabouri thuộc Nhóm phân tích mối đe dọa (TAG) của Google cùng một nhà nghiên cứu ẩn danh đã được ghi nhận là những người báo cáo về lỗ hổng bảo mật này. Điều này làm dấy lên khả năng rằng việc khai thác lỗ hổng zero-day có liên quan đến một nhóm nào đó có liên kết với nhà nước hoặc một tác nhân đe dọa dai dẳng nâng cao (APT).

Hiện tại vẫn chưa có thông tin chi tiết về cách khai thác những thiếu sót này trong thực tế hoặc mức độ lan rộng của các cuộc tấn công này, nhưng sự phát triển này đã thúc đẩy Cơ quan an ninh mạng và cơ sở hạ tầng Hoa Kỳ (CISA) thêm chúng vào danh mục Lỗ hổng đã khai thác được biết đến (KEV).

Một trong những lỗ hổng zero-day được công khai nhưng chưa được khai thác là CVE-2024-49019 (điểm CVSS: 7,8), một lỗ hổng leo thang đặc quyền trong Dịch vụ chứng chỉ Active Directory có thể bị lợi dụng để có được đặc quyền quản trị tên miền. Chi tiết về lỗ hổng bảo mật, được gọi là EKUwu, đã được TrustedSec ghi lại vào tháng trước.

Một lỗ hổng bảo mật khác đáng chú ý là CVE-2024-43498 (điểm CVSS: 9,8), một lỗi thực thi mã từ xa nghiêm trọng trong .NET và Visual Studio mà kẻ tấn công từ xa không xác thực có thể khai thác bằng cách gửi các yêu cầu được tạo đặc biệt đến ứng dụng web .NET dễ bị tấn công hoặc bằng cách tải một tệp được tạo đặc biệt vào ứng dụng máy tính để bàn dễ bị tấn công.

Bản cập nhật cũng sửa một lỗ hổng giao thức mật mã quan trọng ảnh hưởng đến Windows Kerberos (CVE-2024-43639, điểm CVSS: 9,8) có thể bị kẻ tấn công chưa xác thực lợi dụng để thực hiện thực thi mã từ xa.

Lỗ hổng được đánh giá cao nhất trong bản phát hành tháng này là lỗ hổng thực thi mã từ xa trong Azure CycleCloud (CVE-2024-43602, điểm CVSS: 9,9), cho phép kẻ tấn công có quyền người dùng cơ bản có được các đặc quyền cấp gốc.

"Việc khai thác dễ dàng chỉ đơn giản là gửi yêu cầu đến cụm AzureCloud CycleCloud dễ bị tấn công để sửa đổi cấu hình của cụm đó", Narang cho biết. "Khi các tổ chức tiếp tục chuyển sang sử dụng tài nguyên đám mây, bề mặt tấn công sẽ mở rộng theo kết quả".

Cuối cùng, một CVE không do Microsoft phát hành được Redmond giải quyết là lỗ hổng thực thi mã từ xa trong OpenSSL (CVE-2024-5535, điểm CVSS: 9.1). Lỗ hổng này ban đầu được những người bảo trì OpenSSL vá vào tháng 6 năm 2024.

"Để khai thác lỗ hổng này, kẻ tấn công phải gửi liên kết độc hại đến nạn nhân qua email hoặc thuyết phục người dùng nhấp vào liên kết, thường là thông qua hình thức dụ dỗ trong email hoặc tin nhắn Instant Messenger", Microsoft cho biết.

"Trong trường hợp tấn công email tệ nhất, kẻ tấn công có thể gửi email được thiết kế đặc biệt đến người dùng mà không yêu cầu nạn nhân mở, đọc hoặc nhấp vào liên kết. Điều này có thể khiến kẻ tấn công thực thi mã từ xa trên máy của nạn nhân".

Hương – Theo TheHackerNews