BẢN ĐIỂM TIN AN TOÀN THÔNG TIN NGÀY 21.05.2024
21/05/2024
Tổng hợp tin tức bảo mật nổi bật (10/05/2024 – 16/05/2024)
1. Microsoft sửa lỗi trên Windows Server nhằm vá lỗ hổng tiết lộ hàm băm NTLM
- Microsoft đã khắc phục sự cố đ ã được ghi nhận gây ra lỗi xác thực và khởi động lại bộ điều khiển miền (domain controller) sau khi cài đặt các bản cập nhật bảo mật Windows Server trong tháng trước.
- Trên các hệ thống bị ảnh hưởng, sau khi triển khai các bản cập nhật bảo mật Windows Server, quản trị viên cũng sẽ thấy trong một số trường hợp hiếm hoi, bộ điều khiển miền khởi động lại do sự cố quy trình Local Security Authority Subsystem Service (LSASS).
- Các phiên bản bị ảnh hưởng:
1. Windows Server 2022 (KB5037782),
2. Windows Server 2019 (KB5037765),
3. Windows Server 2016 KB5037763)
4. Windows Server 2012 R2 KB5037823
5. Windows Server 2012 KB5037778
6. Windows Server 2008 R2 KB5037780
7. Windows Server 2008 SP2 KB5037800
- Khuyến nghị bảo mật: Cập nhật các bản vá Windows phát hành ngày 14 tháng 5 năm 2024 (KB5037782) và các bản sau đó.
Chi tiết xem thêm tại đường dẫn: Microsoft sửa lỗi Windows Server gây ra sự cố, NTLM auth failures (bleepingcomputer.com)
2. Cảnh báo các tệp lối tắt (shortcut) trên Windows được hacker tận dụng để triển khai mã độc
- Các nhà nghiên cứu bảo mật tại Palo Alto Networks quan sát thấy các hacker tích cực sử dụng đường hầm DNS (DNS tunneling) để theo dõi việc gửi email rác nhằm lừa đảo nạn nhân tương tác với các tên miền độc hại, cũng như quét mạng của nạn nhân.
- Được sử dụng trong khoảng hai thập kỷ, đường hầm DNS là một phương thức giao tiếp bí mật cho phép kẻ tấn công truyền phần mềm độc hại, dữ liệu đến và đi từ mạng nạn nhân bằng mô hình máy khách-máy chủ.
- Là một phần của cuộc tấn công đường hầm DNS (DNS tunneling), hacker đăng ký một tên miền với máy chủ định danh trỏ đến máy chủ của kẻ tấn công nơi mà phần mềm độc hại đào dường hầm chạy trên đó.
- Sau đó hacker lây nhiễm phần mềm độc hại vào máy tính, sử dụng các yêu cầu đến trình phân giải DNS để kết nối với máy chủ do hacker kiểm soát và thiết lập một đường hầm DNS thông qua trình phân giải, vượt qua tường lửa mạng thông thường và không bị phát hiện, vì các tổ chức thường không giám sát lưu lượng DNS.
- Thông thường, các tác nhân đe dọa sử dụng đường hầm DNS (DNS tunneling) cho mục đích giao tiếp bằng lệnh và kiểm soát (C&C) và mạng riêng ảo (VPN) nhưng trong ba chiến dịch gần đây đã cho thấy nó có thể sử dụng để theo dõi hoạt động và quét mạng.
- Khuyến nghị bảo mật: Để giảm thiểu rủi ro liên quan đến đường hầm DNS, các tổ chức nên ngăn trình phân giải chấp nhận các truy vấn không cần thiết và đảm bảo trình phân giải của họ đang chạy các phiên bản phần mềm mới nhất để ngăn chặn việc khai thác các lỗ hổng đã biết.
Chi tiết xem thêm tại đường dẫn Những kẻ tấn công sử dụng đường hầm DNS để theo dõi hoạt động của nạn nhân, quét mạng - SecurityWeek
3. Cảnh báo nhóm phát tán các dữ liệu nhạy cảm (BreachForums) sắp đóng cửa
- Trong nhiều năm, BreachForums là một diễn đàn tiếng Anh phổ biến dành cho hacker và các tội phạm mạng muốn bán và trao đổi các loại dữ liệu bị đánh cắp.
- Theo thông tin từ https://twitter.com/vxunderground/status/1790894514619486360, dường như quản trị viên của diễn đàn, được biết đến với tên là Baphomet đã bị bắt.
- Tuy vậy, kênh Telegram BreachForums dường như nằm dưới sự kiểm soát của FBI. Một tin nhắn tương tự như trên trang web đã được đăng trên kênh Telegram từ tài khoản của Baphomet, điều này cho thấy hacker mũ đen thực sự đã bị bắt.
- Những loại diễn đàn tội phạm mạng trên web bề mặt này dường như luôn nằm trong tầm ngắm của cơ quan thực thi pháp luật và việc chúng bị gỡ xuống chỉ là vấn đề thời gian. Mặt khác, nó cũng chỉ là vấn đề thời gian cho đến khi một diễn đàn hacker khác xuất hiện.
Chi tiết xem thêm tại BreachForums đóng cửa trong hoạt động thực thi pháp luật rõ ràng - SecurityWeek; FBI thu giữ diễn đàn hack BreachForums - một lần nữa (msn.com)
4. VMware vá lỗi bảo mật nghiêm trọng trong các sản phẩm Workstation và Fusion
- Trong thời gian gần đây, có nhiều lỗ hổng bảo mật đã được tiết lộ trong các sản phẩm VMware Workstation và Fusion có thể bị các tác hacker khai thác để truy cập thông tin nhạy cảm, kích hoạt điều kiện từ chối dịch vụ (DoS) và thực thi mã trong một số trường hợp nhất định.
- Bốn lỗ hổng ảnh hưởng đến các phiên bản Workstation 17.x và Fusion phiên bản 13.x, với các bản sửa lỗi có sẵn trong phiên bản 17.5.2 và 13.5.2, nhà cung cấp dịch vụ ảo hóa thuộc sở hữu của Broadcom cho biết. Thông tin cụ thể như sau:
1. CVE-2024-22267 (điểm CVSS: 9.3) - Lỗ hổng có thể bị khai thác bởi các hacker có đặc quyền quản trị viên cục bộ trên máy ảo để thực thi mã dưới dạng tiến trình VMX của máy ảo chạy trên máy chủ.
2. CVE-2024-22268 (điểm CVSS: 7.1) - Lỗ hổng tràn bộ đệm trong chức năng Shader có thể bị khai thác bởi hacker có quyền quản trị và truy cập vào máy ảo với đồ họa 3D được kích hoạt để tạo điều kiện DoS.
3. CVE-2024-22269 (điểm CVSS: 7.1) - Lỗ hổng tiết lộ thông tin trong thiết bị Bluetooth có thể bị khai thác bởi một hacker có đặc quyền quản trị cục bộ trên máy ảo để đọc thông tin đặc quyền chứa trong bộ nhớ hypervisor từ máy ảo.
4. CVE-2024-22270 (điểm CVSS: 7.1) - Lỗ hổng tiết lộ thông tin trong chức năng Chia sẻ tệp khách lưu trữ (HGFS) có thể bị khai thác bởi hacker có đặc quyền quản trị cục bộ trên máy ảo để đọc thông tin đặc quyền chứa trong bộ nhớ hypervisor từ máy ảo.
Khuyến nghị bảo mật: Cách giải quyết tạm thời cho đến khi các bản vá có thể được triển khai, người dùng nên tắt hỗ trợ Bluetooth trên máy ảo và tắt tính năng tăng tốc 3D. Không có biện pháp giảm nhẹ nào giải quyết CVE-2024-22270 ngoài việc cập nhật lên phiên bản mới nhất.
Chi tiết xem thêm tại đường dẫn: VMware vá lỗi bảo mật nghiêm trọng trong các sản phẩm Workstation và Fusion (thehackernews.com)