Microsoft hôm thứ Ba đã phát hành bản cập nhật bảo mật hàng tháng, giải quyết 61 lỗi bảo mật khác nhau trên phần mềm của mình, bao gồm hai vấn đề nghiêm trọng ảnh hưởng đến Windows Hyper-V có thể dẫn đến từ chối dịch vụ (DoS) và thực thi mã từ xa.
Trong số 61 lỗ hổng, hai lỗ hổng được xếp hạng Nghiêm trọng, 58 lỗ hổng được xếp hạng Quan trọng và một lỗ hổng được xếp hạng Mức độ nghiêm trọng thấp. Không có lỗ hổng nào được liệt kê là được biết đến công khai hoặc đang bị tấn công tích cực tại thời điểm phát hành, nhưng sáu trong số chúng đã được gắn thẻ với đánh giá "Khai thác nhiều khả năng hơn".
Các bản sửa lỗi bổ sung cho 17 lỗi bảo mật đã được vá trong trình duyệt Edge dựa trên Chromium của công ty kể từ khi phát hành bản cập nhật Patch Tuesday tháng 2 năm 2024.
Đứng đầu danh sách những thiếu sót nghiêm trọng là CVE-2024-21407 và CVE-2024-21408, ảnh hưởng đến Hyper-V và có thể dẫn đến thực thi mã từ xa và điều kiện DoS, tương ứng.
Bản cập nhật của Microsoft cũng giải quyết các lỗ hổng leo thang đặc quyền trong Azure Kubernetes Service Confidential Container (CVE-2024-21400, điểm CVSS: 9.0), Windows Composite Image File System (CVE-2024-26170, điểm CVSS: 7.8) và Authenticator (CVE-2024-21390, điểm CVSS: 7.1).
Việc khai thác thành công CVE-2024-21390 yêu cầu kẻ tấn công phải có sự hiện diện cục bộ trên thiết bị thông qua phần mềm độc hại hoặc ứng dụng độc hại đã được cài đặt thông qua một số phương tiện khác. Nó cũng yêu cầu nạn nhân đóng và mở lại ứng dụng Authenticator.
"Việc khai thác lỗ hổng này có thể cho phép kẻ tấn công truy cập vào mã xác thực đa yếu tố cho tài khoản của nạn nhân, cũng như sửa đổi hoặc xóa tài khoản trong ứng dụng xác thực nhưng không ngăn ứng dụng khởi chạy hoặc chạy", Microsoft cho biết trong một lời khuyên.
"Trong khi việc khai thác lỗ hổng này được coi là ít có khả năng xảy ra, chúng tôi biết rằng những kẻ tấn công rất muốn tìm cách vượt qua xác thực đa yếu tố", Satnam Narang, kỹ sư nghiên cứu nhân viên cao cấp tại Tenable, cho biết trong một tuyên bố được chia sẻ với The Hacker News.
"Có quyền truy cập vào thiết bị mục tiêu là đủ tệ vì chúng có thể theo dõi các lần nhấn phím, đánh cắp dữ liệu và chuyển hướng người dùng đến các trang web lừa đảo, nhưng nếu mục tiêu là duy trì khả năng tàng hình, chúng có thể duy trì quyền truy cập này và đánh cắp mã xác thực đa yếu tố để đăng nhập vào các tài khoản nhạy cảm, đánh cắp dữ liệu hoặc chiếm đoạt tài khoản hoàn toàn bằng cách thay đổi mật khẩu và thay thế thiết bị xác thực đa yếu tố, khóa người dùng khỏi tài khoản của họ một cách hiệu quả."
Một lỗ hổng khác cần lưu ý là lỗi leo thang đặc quyền trong thành phần Bộ đệm in (CVE-2024-21433, điểm CVSS: 7.0) có thể cho phép kẻ tấn công có được đặc quyền HỆ THỐNG nhưng chỉ khi giành chiến thắng trong điều kiện đua.
Bản cập nhật cũng cắm lỗ hổng thực thi mã từ xa trong Exchange Server (CVE-2024-26198, điểm CVSS: 8.8) mà tác nhân đe dọa chưa được xác thực có thể lạm dụng bằng cách đặt một tệp được tạo đặc biệt vào thư mục trực tuyến và lừa nạn nhân mở nó, dẫn đến việc thực thi các tệp DLL độc hại.
Lỗ hổng có xếp hạng CVSS cao nhất là CVE-2024-21334 (điểm CVSS: 9.8), liên quan đến trường hợp thực thi mã từ xa ảnh hưởng đến Cơ sở hạ tầng quản lý mở (OMI).
"Một kẻ tấn công không được xác thực từ xa có thể truy cập phiên bản OMI từ Internet và gửi các yêu cầu được tạo đặc biệt để kích hoạt lỗ hổng sử dụng sau khi miễn phí", Redmond nói.