Microsoft đã phát hành bản cập nhật Patch Tuesday cuối cùng cho năm 2023, đóng gói 34 lỗ hổng trong phần mềm của mình, biến đây thành một trong những bản phát hành nhẹ nhất trong những năm gần đây.
Trong số 34 lỗ hổng, có 4 lỗ hổng được đánh giá là Critical và 30 lỗ hổng được đánh giá là Important về mức độ nghiêm trọng. Những bản vá này bổ sung cho 18 lỗ hổng mà Microsoft đã giải quyết trong trình duyệt Edge dựa trên Chromium kể từ khi phát hành bản cập nhật Patch Tuesday cho tháng 11 năm 2023.
Theo dữ liệu từ Zero Day Initiative, hãng phần mềm này đã vá hơn 900 lỗ hổng trong năm nay, biến nó thành một trong những năm bận rộn nhất với các bản vá của Microsoft. So với đó, Redmond giải quyết 917 CVE trong năm 2022.
Mặc dù không có lỗ hổng nào được liệt kê là công khai biết hoặc đang bị tấn công trong thời điểm phát hành, một số lỗ hổng đáng chú ý bao gồm -
CVE-2023-35628 (CVSS score: 8.1) - Lỗ hổng mã hóa từ xa trên Nền tảng Windows MSHTML
CVE-2023-35630 (CVSS score: 8.8) - Lỗ hổng mã hóa từ xa trong chia sẻ kết nối Internet (ICS)
CVE-2023-35636 (CVSS score: 6.5) - Lỗ hổng tiết lộ Thông tin trong Microsoft Outlook
CVE-2023-35639 (CVSS score: 8.8) - Lỗ hổng mã hóa từ xa trong trình điều khiển ODBC của Microsoft
CVE-2023-35641 (CVSS score: 8.8) - Lỗ hổng mã hóa từ xa trong chia sẻ kết nối Internet (ICS)
CVE-2023-35642 (CVSS score: 6.5) - Lỗ hổng từ chối dịch vụ trong chia sẻ kết nối Internet (ICS)
CVE-2023-36019 (CVSS score: 9.6) - Lỗ hổng lừa đảo kết nối trình điều khiển Nền tảng Microsoft Power
CVE-2023-36019 cũng quan trọng vì nó cho phép kẻ tấn công gửi một URL được chế tạo đặc biệt đến mục tiêu, dẫn đến việc thực thi các tập lệnh độc hại trong trình duyệt của nạn nhân trên máy tính của họ.
"Kẻ tấn công có thể tinh chỉnh một liên kết, ứng dụng hoặc tệp để giả mạo nó như là một liên kết hoặc tệp hợp lệ để lừa đảo nạn nhân," Microsoft nói trong một thông báo.
Bản cập nhật Patch Tuesday của Microsoft cũng bảo vệ ba lỗ hổng trong dịch vụ Máy chủ cấu hình động Host (DHCP) có thể dẫn đến tình trạng từ chối dịch vụ hoặc tiết lộ thông tin -
CVE-2023-35638 (CVSS score: 7.5) - Lỗ hổng từ chối dịch vụ máy chủ DHCP
CVE-2023-35643 (CVSS score: 7.5) - Lỗ hổng tiết lộ thông tin dịch vụ máy chủ DHCP
CVE-2023-36012 (CVSS score: 5.3) - Lỗ hổng tiết lộ thông tin dịch vụ máy chủ DHCP
Phát hiện này cũng đến khi Akamai phát hiện ra một chuỗi tấn công mới vào các miền Active Directory sử dụng máy chủ Microsoft Dynamic Host Configuration Protocol (DHCP).
"Các cuộc tấn công này có thể cho phép kẻ tấn công làm giả các bản ghi DNS nhạy cảm, dẫn đến các hậu quả khác nhau từ việc đánh cắp thông tin đăng nhập cho đến chiếm độc quyền toàn bộ miền Active Directory," Ori David nói trong một báo cáo tuần trước. "Các cuộc tấn công không đòi hỏi bất kỳ thông tin đăng nhập nào và hoạt động với cấu hình mặc định của máy chủ DHCP Microsoft."
Công ty cơ sở hạ tầng web và an ninh tiếp tục chú ý rằng tác động của các lỗ hổng có thể là quan trọng vì chúng có thể bị lợi dụng để làm giả các bản ghi DNS trên máy chủ DNS Microsoft, bao gồm việc ghi đè bất kỳ bản ghi DNS nào một cách tùy ý mà không cần xác thực, từ đó giúp kẻ tấn công chiếm vị trí máy trung gian trên các máy chủ trong miền và truy cập dữ liệu nhạy cảm.
Microsoft, đáp lại các phát hiện, cho biết "vấn đề này hoặc là do thiết kế, hoặc không đủ nghiêm trọng để được vá," yêu cầu người dùng tắt cập nhật động DNS DHCP nếu không cần thiết và kiêng dùng DNSUpdateProxy.
Các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm:
Google Chromecast
Google Cloud
Google Wear OS
Hikvision
Hitachi Energy
HP
IBM
Jenkins
Lenovo
Linux distributions Debian, Oracle Linux, Red Hat, SUSE, và Ubuntu
MediaTek (including 5Ghoul)
Mitsubishi Electric
Mozilla Firefox, Firefox ESR, và Thunderbird
NETGEAR
NVIDIA
Qualcomm
Samsung
SAP
Schneider Electric
Siemens
SolarWinds
SonicWall
Sophos
Spring Framework
Veritas
VMware
WordPress
Zoom, và
Zyxel