Microsoft vá lỗi Windows Zero-Day mới nhưng bỏ quên bản vá cho lỗi máy chủ Exchange?

www.tuoitre.vn -   12/10/2022 12:00:00 658

Bản cập nhật vá lỗi định kỳ vào ngày thứ Ba của Microsoft trong tháng 10 đã được công bố và giải quyết tổng cộng 85 lỗ hổng bảo mật, bao gồm các bản sửa lỗi cho lỗ hổng zero-day đang được khai thác tích cực.

Microsoft vá lỗi Windows Zero-Day mới nhưng bỏ quên bản vá cho lỗi máy chủ Exchange?

Trong số 85 lỗi này, có 15 lỗi được xếp hạng nguy hiểm, 69 lỗi được xếp hạng Quan trọng và một số lỗi được xếp hạng ở mức độ Trung bình về nghiêm trọng. Tuy nhiên trong bản cập nhật này lạ không hề bao gồm các giải pháp giảm thiểu lỗi ProxyNotShell đang được khai thác tích cực trong Exchange Server.

Các bản vá đi kèm với các bản cập nhật để giải quyết 12 lỗi khác trong trình duyệt Edge dựa trên Chromium đã được phát hành từ đầu tháng.

Đứng đầu danh sách các bản vá của tháng này là CVE-2022-41033 (điểm CVSS: 7,8), một lỗ hổng bảo mật trong Windows COM + Event System Service. Một nhà nghiên cứu ẩn danh đã được ghi nhận đã báo cáo vấn đề này.

"Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được các đặc quyền của HỆ THỐNG", công ty cho biết trong một lời khuyên, cảnh báo rằng thiếu sót đang được vũ khí hóa tích cực trong các cuộc tấn công trong thế giới thực.

Bản chất của lỗ hổng này cũng có nghĩa là vấn đề có thể được liên kết với các lỗ hổng khác để nâng cao đặc quyền và thực hiện các hành động độc hại trên máy chủ bị nhiễm.

Kev Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết: "Lỗ hổng cụ thể này là một sự leo thang đặc quyền cục bộ, có nghĩa là kẻ tấn công sẽ cần phải thực thi mã trên máy chủ để sử dụng khai thác này".

Ba lỗ hổng đặc quyền khác được lưu ý liên quan đến Windows Hyper-V (CVE-2022-37979, điểm CVSS: 7,8), Dịch vụ chứng chỉ Active Directory (CVE-2022-37976, điểm CVSS: 8,8) và Kubernetes hỗ trợ Azure Arc cluster Connect (CVE-2022-37968, điểm CVSS: 10,0).

Mặc dù có thẻ "Khai thác ít khả năng hơn" cho CVE-2022-37968, Microsoft lưu ý rằng việc khai thác thành công lỗ hổng có thể cho phép "người dùng chưa được xác thực nâng cao đặc quyền của họ với tư cách là quản trị viên cụm và có khả năng giành quyền kiểm soát đối với cụm Kubernetes."

Ở những nơi khác, CVE-2022-41043 (điểm CVSS: 3,3) - lỗ hổng tiết lộ thông tin trong Microsoft Office - được liệt kê là được biết đến công khai tại thời điểm phát hành. Microsoft cho biết nó có thể bị khai thác để làm rò rỉ mã thông báo của người dùng và các thông tin nhạy cảm khác.

Redmond cũng đã khắc phục 8 lỗi leo thang đặc quyền trong Nhân Windows, 11 lỗi thực thi mã từ xa trong Giao thức đường hầm điểm-điểm-điểm của Windows và Máy chủ SharePoint, và một lỗ hổng đặc quyền khác trong mô-đun Print Spooler (CVE-2022-38028, Điểm CVSS: 7.8).

Bản cập nhật Patch Tuesday còn giải quyết thêm hai lỗi leo thang đặc quyền trong Windows Workstation Service (CVE-2022-38034, điểm CVSS: 4,3) và Server Service Remote Protocol (CVE-2022-38045, điểm CVSS: 8,8).

Công ty bảo mật web Akamai, công ty phát hiện ra hai thiếu sót, cho biết họ "lợi dụng một lỗ hổng thiết kế cho phép bỏ qua lệnh gọi lại bảo mật [Microsoft Remote Procedure Call] thông qua bộ nhớ đệm."

Hương

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 180
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 202
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 172
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 137
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 57
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 62
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button