Microsoft đã phát hành một loạt các bản cập nhật bảo mật khác để sửa tổng cộng 97 lỗi ảnh hưởng đến phần mềm của mình, một trong số đó đã bị khai thác tích cực trong các cuộc tấn công ransomware ngoài thực tế.
Bảy trong số 97 lỗi được xếp hạng Nghiêm trọng và 90 lỗi được xếp hạng Quan trọng về mức độ. 45 trong số các lỗ hổng là lỗi thực thi mã từ xa, tiếp theo là 20 lỗ hổng nâng cao đặc quyền. Các bản cập nhật cũng khắc phục sửa lỗi cho 26 lỗ hổng trong trình duyệt Edge đã được phát hành trong tháng qua.
Lỗ hổng bảo mật đang bị khai thác tích cực là CVE-2023-28252 (điểm CVSS: 7,8), một lỗi leo thang đặc quyền trong Trình điều khiển Hệ thống tệp nhật ký chung của Windows (CLFS).
“Kẻ tấn công đã khai thác thành công lỗ hổng này có thể giành được các đặc quyền HỆ THỐNG”, Microsoft cho biết trong một lời khuyến cáo, đồng thời ghi nhận các nhà nghiên cứu Boris Larin, Genwei Jiang và Quan Jin vì đã báo cáo sự cố.
CVE-2023-28252 là lỗ hổng leo thang đặc quyền thứ tư trong thành phần CLFS đã bị lạm dụng tích cực chỉ trong năm qua sau CVE-2022-24521 , CVE-2022-37969 và CVE-2023-23376 (điểm CVSS: 7,8 ). Ít nhất 32 lỗ hổng đã được xác định trong CLFS kể từ năm 2018.
Theo công ty an ninh mạng Kaspersky của Nga, lỗ hổng này đã được một nhóm tội phạm mạng vũ khí hóa để triển khai phần mềm tống tiền Nokoyawa chống lại các doanh nghiệp vừa và nhỏ ở Trung Đông, Bắc Mỹ và Châu Á.
Larin cho biết : “CVE-2023-28252 là một lỗ hổng ghi (tăng) ngoài giới hạn có thể bị khai thác khi hệ thống cố gắng mở rộng khối siêu dữ liệu. Lỗ hổng được kích hoạt do thao túng tệp nhật ký cơ sở.”
Do việc khai thác lỗ hổng đang diễn ra, CISA đã thêm lỗ hổng zero-day của Windows vào danh mục Các lỗ hổng bị khai thác đã biết ( KEV ), ra lệnh cho các cơ quan Chi nhánh Hành pháp Dân sự Liên bang (FCEB) bảo mật hệ thống của họ trước ngày 2 tháng 5 năm 2023.
Ngoài ra, các lỗi thực thi mã từ xa quan trọng ảnh hưởng đến Dịch vụ máy chủ DHCP, Giao thức đường hầm lớp 2, Phần mở rộng hình ảnh thô, Giao thức đường hầm điểm-điểm của Windows, Windows Pragmatic General Multicast và Hàng đợi tin nhắn của Microsoft (MSMQ) cũng được vá .
Lỗi MSMQ, được theo dõi là CVE-2023-21554 (điểm CVSS: 9,8) và được Check Point đặt tên là QueueJumper, có thể dẫn đến việc thực thi mã trái phép và chiếm quyền kiểm soát máy chủ bằng cách gửi gói MSMQ độc hại được chế tạo đặc biệt đến máy chủ MSMQ.
Nhà nghiên cứu Haifei Li của Check Point cho biết : “Lỗ hổng CVE-2023-21554 cho phép kẻ tấn công có khả năng thực thi mã từ xa và không được phép bằng cách tiếp cận cổng TCP 1801. Nói cách khác, kẻ tấn công có thể giành quyền kiểm soát quy trình chỉ thông qua một gói đến cổng 1801/tcp bằng cách khai thác, kích hoạt lỗ hổng.”
Hai lỗ hổng khác được phát hiện trong MSMQ, CVE-2023-21769 và CVE-2023-28302 (điểm CVSS: 7,5), có thể bị khai thác để gây ra tình trạng từ chối dịch vụ (DoS) chẳng hạn như sự cố dịch vụ và Màn hình xanh của Windows ( BSoD ).