Cảnh báo nhanh về lỗ hổng 0day CVE-2022-26809, Lỗ hổng thực thi mã từ xa trong Windows RPC Runtime không cần xác thực đang bị khai thác trong tự nhiên. Lỗ hổng chưa có nhiều thông tin đánh giá và phân tích chi tiết hay PoC được công bố. Tuy vậy cũng cần nắm bắt đề phòng, kịp thời phản ứng. Ngoài ra cũng cập nhật thêm thông tin một số lỗ hổng cần chú ý trong bản vá tháng 4 của Microsoft.
Phạm vi ảnh hưởng/Điều kiện khai thác ( CVE-2022-26809 ):
Hệ thống mở port 445 ra ngoài internet đều dễ bị tấn công
Các phiên bản Windows chưa được cập nhật bản vá tháng 4 mới nhất đều bị ảnh hưởng
Không cần thông tin xác thực
Thông tin chi tiết:
CVE-2022-26809: Windows RPC Runtime RCE không cần xác thực
Lỗ hổng nằm trong thư viện rpcrt4.dll của Windows RPC Runtime. Hai function là OSF_CCALL::ProcessResponse and OSF_SCALL::ProcessReceivedPDU đảm nhận việc xử lý các gói tin RPC ở phía client (CCALL) và server (SCALL).
Trong đó tại hàm QUEUE :: PutOnQueue thuộc OSF_SCALL ::
ProcessReceivePDU có chức năng kiểm tra việc tràn số nguyên ( integer overflows
check ).
int64 fastcall sub_l80042028(unsigned int currentvalue, int addition, int *output) {
unsigned int afterAddition; // eax
int v4; // edx
int64 result; // rax
afterAddition = currentvalue + addition;
v4 = -1;
if ( afterAddition >= currentvalue )
v4 = afterAddition;
result = afterAddition < currentvalue ? 0x80070216 : 0;
’output = v4;
return result;
}
Tại OSF_SCALL:GetCoalescedBuffer việc tràn số nguyên này có thể gây lỗi heap buffer overflow từ đó có thể ghi ngoài giới hạn bộ đệm heap và thực thi mã tùy ý. Một số hàm khác cũng tương tự bao gồm:
OSF_CCALL::ProcessResponse
OSF_SCALL::GetCoalescedBuffer
OSF_CCALL::GetCoalescedBuffer
Một số lỗ hổng cần quan tâm trong Patch Tuesday tháng 4 của Microsoft
Trong tháng 04/2022, Microsoft đã phát hành bản vá cho 117 lỗ hổng (chưa bao gồm 17 lỗ hổng trong Microsoft Edge), trong đó có 9 lỗ hổng được đánh giá ở mức Nghiêm Trọng và 108 lỗ hổng được đánh giá là Quan Trọng. Tỉ trọng số lượng lỗ hổng như sau: Thực thi mã từ xa (RCE) và Leo thang đặc quyền (EoP) đều chiếm tỉ trọng lớn với 39,3%. Trong các lỗ hổng được vá lần này, cần lưu ý một số CVE được Microsoft đánh giá là nguy hiểm, có khả năng bị tấn công cao trong thực tế:
CVE
Lỗ hổng
CVSS
Mô tả
CVE-2022-
26809
RPC Runtime Library Remote Code
9.8
Lỗ hổng thực thi mã từ xa trong RPC Runtime Library. Chưa có thông tin chi
Execution Vulnerability
tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022- 24491/24497
Windows Network File System Remote Code Execution Vulnerability
9.8
Lỗ hổng thực thi mã từ xa trong Windows Network File System. Chưa có thông tin chi tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022-
26815
Windows DNS Server Remote Code Execution Vulnerability
7.2
Lỗ hổng thực thi mã từ xa trong Windows DNS Server. Chưa có thông tin chi tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022-
26904
Windows User Profile Service Elevation of
Privilege Vulnerability
7.0
Lỗ hổng leo thang đặc quyền trong Windows User Profile Service. Lỗ hổng đã có PoC công bố trên không gian mạng.
CVE-2022-
24521
Windows Common Log File System Driver Elevation of Privilege
Vulnerability
7.8
Lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver. Lỗ hổng chưa có thông tin chi tiết và PoC công bố trên không gian mạng. Tuy nhiên, lỗ hổng đã được khai thác trong thực tế.
Cách phòng tránh/fix lỗi/phát hiện:
Lỗ hổng không có dấu hiệu nhận biết cụ thể. Chặn hoặc hạn chế kết nối từ port 445 từ ngoài mạng internet/mạng không phải kết nối trust. Áp dụng khuyến nghị bảo mật giao thức SMB theo nhà phát triển tại :
Sáng nay có bạn alo hỏi vụ sql tấn công và ăn cua… Tình hình có vẻ căng vụ publishing port SQL Server 1433 nhất là thuê hosting vps. Một số ý khuyến cáo chia sẽ ae bảo mật Server SQL: 1/ Buộc phải có tường lửa nếu thuê hosting thì cũng nên thuê thêm. Còn túng quá change port SQL. 2/ Access policy cho 1 số dịch vụ out in. 3/ Change mật khẩu quản trị sa mức độ phức tạp tránh bị bruce force. 4/ Phân quyền user logon và user ower db cần thiết. Không sử dụng quyền sa hoặc system admin roles để chạy user databases. 5/ Bảo mật chính application các bạn đang chạy như password admin root hay tài khoản có quyền admin… 6/ Update path KB mới nhất MSSQL. 7/ Update Os Windows Server mới nhất. 8/ Cài đặt antivirus và update mới nhất bật ips nếu có ví dụ SEP, Kis, mcafee…. 9/ Công tác này rất quan trọng là rà soát backup 3-2-1 tốt nhất backup lên đám mây và sử dụng VPN tránh bị ăn ransomware… Những ai đang chạy public trực tiếp xem xét khoá lại. Bài viết không nói rõ ứng dụng đích danh nào mà nói chung cho tất cả ứng dụng sử dụng SQL làm CSDL. Nghe đâu SQL server đang bị dính Cobalt Strike.
Cách xử lý lỗi Add thành viên Server DAG bị lỗi | A server-side administrative operation failed
A server-side database availability group administrative operation failed. Error The operation failed. CreateCluster errors may result from incorrectly configured static addresses. Error: Windows Failover Clustering isn’t installed on ‘NVpSRVEX01’’ | Phương nguyễn IT
Clip này chia sẻ lỗi khi add 1 thành viên server vào DAG exchange server sẻ báo lỗi nếu thành viên bật IPV6. Chúng ta phải tắt IPV6 tại network setting và trong thanh ghi-regedit
Tạo khóa DisabledComponents kiểu DWORD giá trị ffffffff theo đường dẫn
Cần update SP3 (10.50.6000.34)=> 10.50.6560 Bản vá
Tải về copy vào server
Double click vào chạy theo thứ tự nhé
Kiểm tra
Tiếp theo cập nhật bản vá mới nhất
Update tới bản vá mới nhất: 4057113 Description of the security update for SQL Server 2008 R2 SP3 GDR: January 6, 2018 – Security Advisory ADV180002 (2009.100.6560.0)
Như vậy là update thành công phiên bản mới nhất SQL 2008R2 SP3. Bản SQL Server 2008R2 này được xem là bản ổn định nhất trong các phiên bản SQL Server. Tuy nhiên MS đã ngưng hỗ trợ bản này chúng ta nên có kế hoạch cập nhật upgrade phiên Bản mơi nhất SQL Server 2012, 2014,2016,2017, 2019 nhé.
Theo thông tin Google về việc Google chuẩn bị cắt bản Free G Suite:
– Từ 01/07/2022 Google sẽ ngừng cung cấp dịch vụ G Suite phiên bản miễn phí
– Từ nay – 01/05/2022 tất cả các KH sử dụng phiên bản G Suite cũ buộc phải chuyển đổi sang các phiên bản Google Workspace trả phí để tiếp tục sử dụng các dịch vụ. Nếu KH không lựa chọn, Google sẽ tự động lựa chọn gói phù hợp để đăng ký chuyển đổi. Sau khi lựa chọn và đăng ký nâng cấp lên phiên bản Google Workspace trả phí xong, khách hàng có thể tiếp tục sử dụng miễn phí cho đến hết ngày 1/7/2022.
• KH dùng bản free có thể tự chuyển đổi lên G Suite độc lập với gói giá tốt nhưng chỉ được duy trì 1 năm. Sau 1 năm, giá sẽ quay về lại giá cơ bản
-6$/user/tháng áp dụng cho bản Starter,
12$/user/tháng với bản Standard,
18$/user/tháng với bản Plus
• Hoặc, KH có thể liên hệ các partner của Google để hỗ trợ chuyển đổi
Tạm thời disable dịch vụ Windows Update hết các Windows server nhé. Microsoft không ngừng ra các bản phá nhằm bản vá Lỗi liên tục có thể mô tả bên dưới: Windows 10 KB5009543: Lỗi VPN L2TP Windows 10 KB5008212: Lỗi liên quan Outlook Windows Server 2012 R2 KB5009624: +Lỗi liên quan Domain Controller do lsass.exe, wininit.exe, Lỗi này tránh rollback liên quan USN AD
Lỗi liên quan đến dịch vụ Hyper-V không start được VM, Lỗi VM Gen 2 (UEFI) tronge Hyper-V không start,
Lỗi liên quan Clustering CSV. KB5009586 Windows Server 2012 R2 KB5009595, Windows Server 2019 KB5009557 Windows Server 2022 KB5009555 : Lỗi liên quan đến dịch vụ DNS không start được. Windows Server 2012 R2 KB5009595, Windows Server 2019 KB5009557 Windows Server 2022 KB5009555: Lỗi liên quan đến định dạng disk ReFS trạng thái RAW.
Mới đây sau khi report 02/01/2022 các anh em kêu gào trên thế giới vì lỗi liên quan sản phẩm Exchange 2016, Exchange 2019. Microsoft đã xác nhận đây là lỗi Y2K22.
Microsoft đã tạo một giải pháp để giải quyết vấn đề thư bị kẹt trong hàng đợi truyền tải trên Exchange Server 2016 và Exchange Server 2019 do sự cố ngày tiềm ẩn trong tệp chữ ký được công cụ quét phần mềm độc hại trong Exchange Server sử dụng.
Log Name: Application
Source: FIPFS
Logged: 1/1/2022 1:03:42 AM
Event ID: 5300
Level: Error
Computer: NVPSRVEX01.viettechgroup.lab
Description: The FIP-FS "Microsoft" Scan Engine failed to load. PID: 23092, Error Code: 0x80004005. Error Description: Can't convert "2201010001" to long.
Log Name: Application
Source: FIPFS
Logged: 1/1/2022 11:47:16 AM
Event ID: 1106
Level: Error
Computer: NVPSRVEX01.viettechgroup.lab
Description: The FIP-FS Scan Process failed initialization. Error: 0x80004005. Error Details: Unspecified error.
Nguyên Nhân
FIP-FS sử dụng kiểu “Int32” để lưu giá trị của các biến số thời gian. Giá trị tối đa mà kiểu này có thể lưu là “2.147.483.647”.
Tuy nhiên, các ngày trong năm 2022 có giá trị tối thiểu là 2.201.010.001 hoặc lớn hơn giá trị tối đa có thể được lưu trữ trong biến int32 đã ký, khiến FIP-FS “Microsoft” Scan Engine thất bại và không phát hành thư để gửi nên bị giữ.
Xử lý Cập nhật
Cách 1 cập nhật tự động
Microsoft đã cập nhật 1 script tự động ResetscanengineVersion. Lưu ý trong hệ thống có bao nhiêu máy chủ Exchange thì chạy hết tất cả để cập nhật nhé.
Run EMS Administrators trên tất cả Exchange Server chúng ta đang có nhé.
.\Reset-ScanEngineVersion.ps1
[PS] D:\Y2K22>.\Reset-ScanEngineVersion.ps1
NVPSRVEX01 Stopping services...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to stop...
NVPSRVEX01 Removing Microsoft engine folder...
NVPSRVEX01 Emptying metadata folder...
NVPSRVEX01 Starting services...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to start...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to start...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to start...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to start...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to start...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to start...
WARNING: Waiting for service 'Microsoft Filtering Management Service (FMS)' to start...
WARNING: Waiting for service 'Microsoft Exchange Transport (MSExchangeTransport)' to start...
WARNING: Waiting for service 'Microsoft Exchange Transport (MSExchangeTransport)' to start...
WARNING: Waiting for service 'Microsoft Exchange Transport (MSExchangeTransport)' to start...
NVPSRVEX01 Starting engine update...
Running as VIETTECHGROUP\Administrator.
--------
Connecting to NVPSRVEX01.viettechgroup.lab.
Dispatched remote command. Start-EngineUpdate -UpdatePath http://amupdatedl.microsoft.com/server/amupdate
Quá trình update diễn ra trong thời gian 15-30 phút tùy hệ thống mạng. Bằng cách kiểm tra bằng lệnh này:
Đảm bảo rằng phiên bản là 2112330001 và kiểm tra trong event viewer không có lỗi nhé
Cách 2: Cập nhật manual
Xóa thư mục tồn tại engine và metadata
1. Stop the Microsoft Filtering Management service. 2. Dùng task Manager đảm bảo updateservice.exe đã stop 3. Xóa thư mục Microsoft theo đường dẫn: %ProgramFiles%\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\amd64\Microsoft. 4. Xóa file trong thư mục metadata theo đường dẫn : %ProgramFiles%\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\metadata.
Cập nhật engine mới nhất
1. Start dịch vụ Microsoft Filtering Management service và the Microsoft Exchange Transport service. 2. Mở EMS, navigate to the Scripts folder (%ProgramFiles%\Microsoft\Exchange Server\V15\Scripts), and run Update-MalwareFilteringServer.ps1 <server FQDN>
Kiểm tra phiên bản
1. EMS chạy Add-PSSnapin Microsoft.Forefront.Filtering.Management.Powershell. 2. Run Get-EngineUpdateInformation và xác nhận UpdateVersion information is 2112330001.