Trọng tâm của các lỗ hổng nghiêm trọng liên quan đến SharePoint, Qakbot của Bản vá thứ ba tháng 5

  • Post category:computer


Một lỗ hổng nghiêm trọng ảnh hưởng đến Microsoft SharePoint Server và hai lỗ hổng zero-day trong Windows MSHTML Platform và Windows Desktop Window Manager (DWM) Core Library phải được các quản trị viên quan tâm hàng đầu khi Microsoft phát hành bản cập nhật Patch Tuesday hàng tháng nhằm giải quyết hơn 60 lỗi và các vấn đề.

Lỗ hổng SharePoint Server – được coi là lỗ hổng nghiêm trọng duy nhất trong đợt giảm tháng 5 năm 2024 – là lỗ hổng thực thi mã từ xa (RCE) được theo dõi dưới dạng CVE-2024-30044. Thông tin chi tiết về nó vẫn chưa được công bố và dường như nó cũng chưa bị khai thác ngoài tự nhiên.

Microsoft cho biết nếu kẻ tấn công đã được xác thực đã có được quyền của chủ sở hữu trang web, chúng có thể khai thác CVE-2024-30044 để tải một tệp được tạo đặc biệt lên máy chủ nạn nhân và tạo các yêu cầu giao diện lập trình ứng dụng (API) chuyên dụng để kích hoạt quá trình khử tuần tự các tham số của tệp. Bằng cách này, sau đó họ có thể đạt được RCE trong bối cảnh máy chủ bị xâm nhập.

Mike Walters, chủ tịch và đồng sáng lập của Action1 giải thích, việc CVE-2024-30044 xuất phát từ vấn đề giải tuần tự hóa dữ liệu không đáng tin cậy khiến nó trở nên đặc biệt rắc rối, bởi vì nó cho phép kẻ tấn công chèn và thực thi mã tùy ý trong quá trình giải tuần tự hóa.

Walters cho biết: “Kẻ tấn công có quyền cơ bản của Site Viewer có thể lợi dụng lỗ hổng này để thực thi mã từ xa, cho phép các hoạt động như triển khai web shell, cài đặt phần mềm độc hại hoặc trích xuất dữ liệu nhạy cảm”. “Nếu kẻ tấn công giành được quyền truy cập ban đầu thông qua các phương tiện khác, chẳng hạn như lừa đảo hoặc lỗ hổng khác, chúng có thể sử dụng CVE-2024-30044 để thiết lập chỗ đứng vững chắc và mạnh mẽ hơn trong mạng.

Ông nói: “Việc kết hợp lỗ hổng này với lỗ hổng khác cho phép leo thang đặc quyền có thể cho phép kẻ tấn công chuyển từ quyền truy cập ban đầu sang quyền kiểm soát quản trị hoàn toàn”.

“Điều này có thể tạo điều kiện cho sự tồn tại lâu dài trong mạng và khiến việc phát hiện trở nên khó khăn hơn. Sau khi thiết lập quyền kiểm soát, kẻ tấn công có thể sử dụng các công cụ khác để lấy dữ liệu nhạy cảm khỏi Máy chủ SharePoint, có khả năng dẫn đến vi phạm dữ liệu nghiêm trọng. Ngoài ra, sau khi thực thi mã từ xa, các tác nhân đe dọa có thể triển khai ransomware để mã hóa các tệp quan trọng trên Máy chủ SharePoint, yêu cầu tiền chuộc cho các khóa giải mã.”

Liên kết và nhúng đối tượng

Hai lỗ hổng zero-day trong tháng này là CVE-2024-30040, lỗ hổng vượt qua tính năng bảo mật trong Windows MSHTML Platform và CVE-2024-30051, lỗ hổng nâng cao đặc quyền (EoP) trong Thư viện lõi Windows DWM.

Đầu tiên, Microsoft đã tiết lộ cách về cơ bản nó cho phép một tác nhân độc hại vượt qua các biện pháp bảo vệ liên kết và nhúng đối tượng (OLE) trong Microsoft 365 và Microsoft Office bằng cách yêu cầu người dùng tải tệp bị nhiễm độc vào hệ thống dễ bị tấn công thông qua email lừa đảo hoặc tin nhắn tức thời. và thuyết phục họ thao tác nó, mặc dù không nhất thiết phải nhấp vào hoặc mở nó. Điều này sẽ cung cấp cho kẻ tấn công không được xác thực khả năng thực thi mã tùy ý với tư cách là nạn nhân.

Những kẻ lừa đảo cho Qakbot

Về lỗ hổng Thư viện lõi DWM của Windows, Microsoft cho biết nó sẽ cho phép kẻ tấn công giành được các đặc quyền cấp hệ thống trên hệ thống của nạn nhân, nhưng cung cấp rất ít bối cảnh hoặc chi tiết bổ sung. Nó được biết là xuất phát từ lỗi tràn bộ đệm dựa trên heap, khiến nó có khả năng nghiêm trọng và cũng có thể bị khai thác bởi người dùng cục bộ với các đặc quyền tương đối thấp.

Trong số hai lỗ hổng zero-day, CVE-2024-30051 đã thu hút được sự quan tâm đáng kể của các chuyên gia mạng do có mối liên hệ lịch sử với một mối đe dọa khét tiếng.

Tyler Reguly, giám đốc cấp cao về nghiên cứu và phát triển bảo mật tại Fortra, giải thích: “Tháng này mọi người sẽ nói về CVE-2024-30051 vì người ta biết rằng nó đang được sử dụng trong QakBot và các phần mềm độc hại khác. Đây là bản cập nhật cần được áp dụng càng sớm càng tốt do tính chất của lỗ hổng và thực tế là việc khai thác trong thế giới thực đã được xác nhận.”

Qakbot là một phần mềm độc hại ngân hàng đáng kính đã tồn tại hơn một thập kỷ. Sau đó, nó trở nên phổ biến trong giới tội phạm mạng như một trojan truy cập từ xa (RAT) được các nhóm ransomware như LockBit và REvil sử dụng để gây hiệu quả lớn.

Cơ sở hạ tầng của nó đã bị gỡ bỏ vào tháng 8 năm 2023 trong một hoạt động do FBI dẫn đầu có tên là Chiến dịch Duck Hunt, nhưng kể từ tháng 2 năm 2024, các nhà nghiên cứu từ nhóm Sophos X-Ops đã báo cáo rằng ai đó có quyền truy cập vào mã nguồn của Qakbot dường như đang thử nghiệm các bản dựng mới và đang nỗ lực phối hợp để tăng cường mã hóa phần mềm độc hại, nghĩa là biến thể mới có thể thách thức phân tích hiệu quả hơn.

Lỗ hổng này được các nhà nghiên cứu của Kaspersky phát hiện vào đầu tháng 4, khi một tài liệu đáng ngờ được tìm thấy trên VirusTotal đã thu hút sự chú ý của họ. Được viết bằng tiếng Anh không chuẩn và thiếu các chi tiết quan trọng, tài liệu gợi ý về một lỗ hổng tiềm ẩn của hệ điều hành Windows, nhưng chuỗi khai thác có vẻ giống với chuỗi được sử dụng để kích hoạt lỗ hổng zero-day trước đó, CVE-2023-36033.

Nghi ngờ lỗ hổng này là hư cấu hoặc vô nghĩa không thể khai thác được, nhóm Kaspersky đã chọn thăm dò sâu hơn và nhanh chóng phát hiện cũng như báo cáo sự thật rằng CVE-2023-30051 là có thật. Kể từ đó, nhóm nghiên cứu đã theo dõi việc sử dụng nó và hôm nay cho biết một lỗi khai thác đã được lưu hành từ giữa tháng 4.

Boris Larin, nhà nghiên cứu bảo mật chính tại Kaspersky GReAT cho biết: “Chúng tôi nhận thấy tài liệu về VirusTotal rất hấp dẫn do tính chất mô tả của nó và quyết định điều tra sâu hơn, điều này khiến chúng tôi phát hiện ra lỗ hổng zero-day nghiêm trọng này”. “Tốc độ mà các tác nhân đe dọa tích hợp hoạt động khai thác này vào kho vũ khí của họ nhấn mạnh tầm quan trọng của việc cập nhật kịp thời và cảnh giác trong an ninh mạng.”

Kaspersky cho biết họ có kế hoạch công bố thêm chi tiết kỹ thuật của CVE-2024-30051 sau khi có đủ thời gian để những người dùng dễ bị tổn thương cập nhật.

Walters của Action1 nói thêm: “Do tính chất nghiêm trọng và mức độ khai thác thấp, CVE-2024-30051 gây ra rủi ro đáng kể, đặc biệt là trong môi trường có nhiều người dùng địa phương và đa dạng, chẳng hạn như mạng công ty và tổ chức học thuật.

Ông nói: “Sự tồn tại của mã khai thác chức năng và các báo cáo khai thác đã được xác nhận cho thấy những kẻ tấn công đã quen với lỗ hổng này và đang tích cực khai thác nó trong các chiến dịch”. “Do mức độ đặc quyền cao có thể đạt được thông qua hoạt động khai thác này, điều quan trọng là các tổ chức phải ưu tiên triển khai bản chính thức của Microsoft. để giảm thiểu thiệt hại có thể xảy ra.”

Trả lời