Cập nhật ngay: Microsoft phát hành bản vá cho 3 lỗ hổng Windows bị khai thác tích cực

Microsoft hôm thứ Ba đã phát hành các bản cập nhật bảo mật để giải quyết 75 lỗ hổng trong danh mục sản phẩm của mình, ba trong số đó đã bị khai thác tích cực trong tự nhiên.

Các bản cập nhật bổ sung cho 22 lỗ hổng mà nhà sản xuất Windows đã vá trong trình duyệt Edge dựa trên Chromium của họ trong tháng qua. Hầu hết các lỗ hổng liên quan đến lỗ hổng khai thác thực thi mã từ xa chiếm đến 47%.

Trong số 75 lỗ hổng, 9 lỗ hổng được xếp hạng Nghiêm trọng và 66 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng. 37 trong số 75 lỗi được phân loại là lỗi thực thi mã từ xa (RCE). Ba zero-days của lưu ý đã được khai thác như sau:

  • CVE-2023-21715 (điểm CVSS: 7,3) – Lỗ hổng bỏ qua tính năng bảo mật của Microsoft Office
  • CVE-2023-21823 (điểm CVSS: 7,8) – Độ cao của lỗ hổng đặc quyền của Cấu phần đồ họa Windows
  • CVE-2023-23376 (Điểm CVSS: 7,8) – Độ cao trình điều khiển của Hệ thống tệp nhật ký chung Windows (CLFS) của lỗ hổng đặc quyền

“Bản thân cuộc tấn công được thực hiện cục bộ bởi người dùng có xác thực với hệ thống được nhắm mục tiêu”, Microsoft cho biết trong lời khuyên cho CVE-2023-21715.

“Kẻ tấn công được xác thực có thể khai thác lỗ hổng bằng cách thuyết phục nạn nhân, thông qua kỹ thuật xã hội, tải xuống và mở một tệp được chế tạo đặc biệt từ một trang web có thể dẫn đến một cuộc tấn công cục bộ vào máy tính nạn nhân.”

Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ thù bỏ qua các chính sách macro của Office được sử dụng để chặn các tệp độc hại hoặc không đáng tin cậy hoặc giành được các đặc quyền HỆ THỐNG.

CVE-2023-23376 cũng là lỗ hổng zero-day được khai thác tích cực thứ ba trong thành phần CLFS sau CVE-2022-24521 và CVE-2022-37969 (điểm CVSS: 7,8), đã được Microsoft xử lý vào tháng 4 và tháng 9 năm 2022.

Nikolas Cemerikic của Immersive Labs cho biết: “Trình điều khiển hệ thống tệp nhật ký chung của Windows là một thành phần của hệ điều hành Windows quản lý và duy trì hệ thống tệp nhật ký dựa trên giao dịch, hiệu suất cao”.

“Đây là một thành phần thiết yếu của hệ điều hành Windows và bất kỳ lỗ hổng nào trong trình điều khiển này đều có thể có ý nghĩa quan trọng đối với tính bảo mật và độ tin cậy của hệ thống.”

Cần lưu ý rằng Microsoft OneNote dành cho Android dễ bị tấn công bởi CVE-2023-21823 và với việc dịch vụ ghi chú ngày càng nổi lên như một phương tiện phát tán phần mềm độc hại , điều quan trọng là người dùng phải áp dụng các bản sửa lỗi.

Microsoft cũng giải quyết nhiều lỗi RCE trong Exchange Server, Trình điều khiển ODBC, Trình điều khiển Máy in PostScript và SQL Server cũng như các sự cố từ chối dịch vụ (DoS) ảnh hưởng đến Dịch vụ iSCSI của Windows và Kênh Bảo mật Windows.

Ba trong số các lỗ hổng Exchange Server được công ty phân loại là “Khả năng khai thác cao hơn”, mặc dù việc khai thác thành công yêu cầu kẻ tấn công phải được xác thực.

Các máy chủ Exchange đã được chứng minh là mục tiêu có giá trị cao trong những năm gần đây vì chúng có thể cho phép truy cập trái phép vào thông tin nhạy cảm hoặc tạo điều kiện cho các cuộc tấn công Thỏa hiệp email doanh nghiệp (BEC).

Nguồn : https://thehackernews.com/2023/02/update-now-microsoft-releases-patches.html

Phương Nguyễn Dịch và biên soạn

[Lỗ hổng] CVE-2022-41080 | Lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server

Thông tin

Thông tinMô Tả
Mức độCAO
Sản phẩmExchange Server
Phiên bảnMicrosoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019
Cumulative Update 11, Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft
Exchange Server 2019 Cumulative Update 12
Mã lỗiCVE-2022-41080
Bảng tóm tắt thông tin lỗ hổng Exchange CVE-2022-41080

Tổng quan

Microsoft cập nhật thông tin về CVE-2022-41080, lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server. Lỗ hổng đã được cảnh báo trong Patch Tuesday tháng 11 của Microsoft. Tin tặc đã xác thực có thể khai thác lỗ hổng Server-side request forgery (SSRF) để leo thang đặc quyền trên hệ thống hoặc kết hợp với CVE-2022-41082 để thực thi mã từ xa.
Quản trị viên cần nắm bắt thông tin và kịp thời đưa ra phương án để ngăn ngừa nguy cơ.

Mô tả chi tiết

Dựa trên các tiêu chí:

  • Microsoft Exchange Server là sản phẩm được sử dụng phổ biến trong các doanh nghiệp.
  • Kết hợp với CVE-2022-41082, tin tặc có thể thực thi mã từ xa trên hệ thống mục tiêu.
  • Tin tặc cần xác thực để khai thác lỗ hổng.
  • Lỗ hổng đã có bản vá từ phía hãng.

Thông tin chi tiết:

CVE-2022-41080 đã được Microsoft cảnh báo trong Patch Tuesday tháng 11/2022. Lỗ hổng Server-side request forgery (SSRF) cho phép tin tặc đã xác thực có thể khai thác để nâng cao đặc quyền. Đặc biệt kết hợp với lỗ hổng CVE-2022-41082 , tin tặc có thể thực thi mã từ xa trên hệ thống.
Microsoft sẽ cập nhật thông tin về lỗ hổng ngay khi có thông tin mới nhất và cảnh báo cho khách hàng.
Kịch bản tấn công:

  1. Tin tặc đã xác thực khai thác CVE-2022-41080 để nâng cao đặc quyền trên hệ thống.
  2. Tin tặc tiếp tục khai thác lỗ hổng CVE-2022-41082 để thực thi mã và chiếm quyền điều khiển hệ thống mục tiêu.

Điều kiện khai thác
Hệ thống sử dụng Exchange Server các phiên bản:

  • Microsoft Exchange Server 2016 Cumulative Update 22
  • Microsoft Exchange Server 2019 Cumulative Update 11
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 12


Hệ thống chưa cài đặt bản vá Patch Tuesday tháng 11 hoặc bản vá trực tiếp cho lỗ hổng.
Tin tặc cần xác thực để khai thác lỗ hổng.


Dấu hiệu nhận biết/Cách khắc phục


Dấu hiệu nhận biết:

  • Gói tin tin tặc sử dụng để truy vấn lỗ hổng có các dấu hiệu sau:
  • Truy vấn HTTP phương thức GET.


Có chứa các chuỗi “X-OWA-ExplicitLogonUser” ,”owa/”, trong header.
Rule suricata:

alert http any any -> any any (msg:"Detecting CVE-2022-41082 attack"; flow:to_server,established; content:"GET";http_method; pcre:"/(X-OWA-ExplicitLogonUser:).(owa\/.)/Hi"; classtype:web-application-attack;sid:20224540;rev:1;)


Biện pháp khắc phục:

Lỗ hổng không có biện pháp khắc phục tạm thời. Microsoft khuyến nghị quản trị viên cập nhật bản vá cho lỗ hổng, chi tiết tại:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

Phương Nguyễn

Một số cách bảo mật NAS Sysnology 7.0-7.1 trở lên

Bài viết này Phương Nguyễn hướng dẫn các bạn system admin cấu hình bảo mật cho các thiết bị NAS Sysnology phiên bản 7.0 trở lên nhé. Vì những ưu việc tính năng vượt trội của DSM 7.0-7.1 về bảo mật hệ thống cho NAS chống các rủi ro bảo mật hệ thống NAS mà Sysnology mang lại. Bạn nào chưa update thì update ngay nhé. Xem bài viết hướng dẫn update tại đây.

Bảo mật chung-General

Vào control panel-> Chọn security-> General.

  • Hẹn giờ đăng xuất (phút): Người dùng sẽ tự động đăng xuất khỏi DSM nếu họ không hoạt động trong khoảng thời gian được chỉ định tại đây. Nhập bất kỳ giá trị nào từ 1 đến 65535.
  • Tăng cường khả năng tương thích của trình duyệt bằng cách bỏ qua kiểm tra IP: Nếu bạn truy cập NAS Synology thông qua proxy HTTP và gặp phải các lần đăng xuất ngẫu nhiên, bạn có thể bật tùy chọn này để bỏ qua kiểm tra IP.
  • Cải thiện khả năng bảo vệ chống lại các cuộc tấn công giả mạo yêu cầu trên nhiều trang web: Tùy chọn này tăng cường khả năng bảo vệ của hệ thống chống lại các cuộc tấn công tạo kịch bản trên nhiều trang web. Tùy chọn này sẽ có hiệu lực vào lần tiếp theo bạn đăng nhập vào DSM.
  • Cải thiện bảo mật với tiêu đề Chính sách bảo mật nội dung HTTP (CSP): Tùy chọn này tăng cường bảo mật của hệ thống chống lại các cuộc tấn công tập lệnh xuyên trang (XSS) bằng cách chỉ cho phép dữ liệu từ các nguồn đáng tin cậy và hạn chế thực thi tập lệnh nội tuyến.
  • Không cho phép nhúng DSM với iFrame: Bạn có thể bật tùy chọn này để hạn chế các trang web khác nhúng DSM vào các trang web khác với iFrame, do đó ngăn chặn một số kiểu tấn công từ các trang web độc hại. Để cho phép các trang web cụ thể nhúng DSM với iFrame, hãy nhấp vào Trang web được phép, thêm trang web, đi tới Bảng điều khiển> Cổng đăng nhập> DSM> Miền, thiết lập miền tùy chỉnh và đánh dấu vào Bật HSTS buộc trình duyệt sử dụng kết nối bảo mật. Đảm bảo rằng NAS Synology của bạn có chứng chỉ hợp lệ.
  • Xóa tất cả các phiên đăng nhập của người dùng đã lưu khi khởi động lại hệ thống: Tùy chọn này ngăn các lỗi hệ thống không mong muốn xảy ra nếu người dùng vẫn đăng nhập và thực hiện các thao tác trên hệ thống trong khi hệ thống đang sẵn sàng. Với tùy chọn này được bật, tất cả người dùng sẽ cần đăng nhập lại sau khi hệ thống khởi động lại.
  • Hiển thị thông báo trên màn hình DSM khi IP hiện tại thay đổi: Khi IP của người dùng hiện đang kết nối thay đổi, hãy gửi thông báo trên màn hình cho người dùng đó.
  • Trust Proxy: có thể đưa vào danh sách list các IP tin tưởng proxy.

Tài khoản-Account

Cần phải đặt mật khẩu phức tạp và bật tính năng xác thực 2 bước 2FA kết hợp với approve sign khi đăng nhập vào quản trị DSM (OTP hoặc HSM)

Tường lửa-Firewall

Cần phải bật tường lửa và cấu hình chính sách truy cập và cho phép dịch vụ nào ip nào truy cập NAS có thể hiểu như 1 Acclist truy cập.

Bảo vệ -Protection

Định nghĩa thời gian truy cập và khóa theo IP có thể cho phép đưa blocklist IP network ip cũng như allow network nào.

Và bật DDOS Protection.

Nâng cao- Advances

Một số thiết lập bảo mật nâng cao khác.

Phương Nguyễn biên soạn