Microsoft đã giải quyết 48 lỗ hổng bảo mật tại phần mềm như một phần của các bản cập nhật Patch Tuesday vào tháng 1 năm 2024.

Trong số 48 lỗ hổng, có hai lỗ hổng được đánh giá là Critical và 46 lỗ hổng được đánh giá là Important về mức độ nghiêm trọng. Không có bằng chứng nào cho thấy bất kỳ vấn đề nào được công bố rộng rãi hoặc đang bị tấn công mạnh tại thời điểm phát hành, khiến trở thành Patch Tuesday thứ hai liên tiếp không có zero-days.

Các bản sửa lỗi này cùng với chín lỗ hổng bảo mật đã được giải quyết trong trình duyệt Edge dựa trên Chrome kể từ khi phát hành bản cập nhật Patch Tuesday tháng 12 năm 2023. Điều này cũng bao gồm bản sửa lỗi zero-day (CVE-2023-7024, điểm CVSS: 8,8) đã bị tấn công.

Các lỗ hổng nghiêm trọng nhất được vá:

  • 2024-20674 (điểm CVSS: 9.0) – Lỗ hổng bỏ qua tính năng bảo mật Windows Kerberos
  • CVE-2024-20700 (điểm CVSS: 7.5) – Lỗ hổng thực thi mã từ xa Windows Hyper-V

Microsoft cho biết trong một thông báo về CVE-2024-20674: “Tính năng xác thực có thể bị bỏ qua vì lỗ hổng này cho phép mạo danh”.

“Kẻ tấn công được xác thực có thể khai thác lỗ hổng này bằng cách thiết lập một cuộc tấn công máy ở giữa (MitM) hoặc kỹ thuật giả mạo mạng cục bộ khác, sau đó gửi tin nhắn Kerberos độc hại đến máy của nạn nhân để giả mạo như là máy chủ xác thực Kerberos.”

Tuy nhiên, công ty lưu ý rằng việc khai thác thành công đòi hỏi kẻ tấn công phải có quyền truy cập vào mạng bị hạn chế trước. Nhà nghiên cứu bảo mật ldwilmore34 được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này.

Mặt khác, CVE-2024-20700 không yêu cầu xác thực cũng như tương tác của người dùng để thực thi mã từ xa, mặc dù phải “win” khi chạy đua rất quan trọng để tổ chức một cuộc tấn công.

Adam Barnett – người đứng đầu phần mềm, cho biết: “Không rõ chính xác vị trí của kẻ tấn công – mạng LAN mà bộ ảo hóa cư trú hoặc mạng ảo được tạo và quản lý bởi bộ ảo hóa – hoặc trong bối cảnh nào việc thực thi mã từ xa sẽ xảy ra”.

Các lỗ hổng đáng chú ý khác bao gồm CVE-2024-20653 (điểm CVSS: 7,8), lỗ hổng leo thang đặc quyền ảnh hưởng đến trình điều khiển Common Log File System (CLFS) và CVE-2024-0056 (điểm CVSS: 8,7), một lỗ hổng bảo mật ảnh hưởng đến System. Data.SqlClient và Microsoft.Data.SqlClient.

Redmond cho biết CVE-2024-0056: “Nếu kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện một cuộc tấn công máy ở giữa (MitM) và có thể giải mã để đọc hoặc sửa đổi lưu lượng TLS giữa máy khách và máy chủ”.

Microsoft cũng lưu ý rằng họ đang vô hiệu hóa khả năng chèn tệp FBX trong Word, Excel, PowerPoint và Outlook trong Windows theo mặc định do một lỗ hổng bảo mật (CVE-2024-2077, điểm CVSS: 7.8) có thể dẫn đến thực thi mã từ xa.

Các mô hình 3D trong tài liệu văn phòng được chèn từ tệp FBX trước đó sẽ tiếp tục hoạt động như mong đợi trừ khi tùy chọn ‘Link to File’ khi chèn,” Microsoft nói trong một cảnh báo riêng biệt. “GLB (Định dạng truyền tải GL nhị phân) là định dạng tệp 3D thay thế được khuyến nghị để sử dụng trong Office.”

Microsoft đã thực hiện một bước tương tự bằng cách vô hiệu hóa định dạng tệp SketchUp (SKP) trong Office năm ngoái sau khi Zscaler phát hiện 117 lỗ hổng bảo mật trong các ứng dụng Microsoft 365.

Bản vá phần mềm từ các nhà cung cấp khác

Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm

  • Adobe
  • AMD
  • Android
  • Arm
  • ASUS
  • Bosch
  • Cisco
  • Dell
  • F5
  • Fortinet
  • Google Chrome
  • Google Cloud
  • HP
  • IBM
  • Intel
  • Lenovo
  • Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
  • MediaTek
  • NETGEAR
  • Qualcomm
  • Samsung
  • SAP
  • Schneider Electric
  • Siemens
  • Splunk
  • Synology
  • Trend Micro
  • Zimbra
  • Zoom

Theo The Hacker News