Microsoft công bố 120 bản vá, chương trình thưởng lớn tìm lỗi bảo mật

Theo thông tin từ bản cập nhật vá lỗi bảo mật Patch Tuesday tháng 8/2020 của gã khổng lồ phần mềm Microsoft, hai lỗ hổng đã bị tấn công với tần suất cao, nâng tổng số lỗ hổng được vá trong tháng này lên 120.

Một trong những lỗ hổng đang bị khai thác là (CVE-2020-1464), một lỗi giả mạo Windows gắn với việc xác thực tệp chữ ký trên hệ điều hành Windows 10, 7 8.1 và các phiên bản của Windows Server. Được đánh giá là "quan trọng", lỗ hổng này cho phép kẻ xấu "bỏ qua các tính năng bảo mật nhằm ngăn chặn việc tải các tệp được ký không đúng cách", Microsoft cho biết.

Zero-day thứ hai là một lỗi thực thi mã từ xa (RCE) bị xếp hạng "nghiêm trọng", được gắn với trình duyệt web Internet Explore có mã là CVE-2020-1380, đây là sự cố hỏng hóc bộ nhớ công cụ tập lệnh. Một vụ hack thành công mang lại cho kẻ tấn công các quyền người dùng giống như người dùng hợp pháp.

Microsoft cho biết: "Lỗ hổng tồn tại ở công cụ xử lý tập lệnh trong bộ nhớ của Internet Explorer, có thể làm hỏng bộ nhớ theo cách mà kẻ tấn công có thể thực thi mã tùy ý theo ngữ cảnh của người dùng hợp pháp".

Todd Schell, Giám đốc sản phẩm cấp cao, bộ phận bảo mật của Ivanti, cho biết: "Việc giới hạn các đặc quyền của người dùng sẽ làm giảm khả năng truy cập của kẻ tấn công khi khai thác lỗ hổng này. Việc khai thác này dường như đang ảnh hưởng đến các phiên bản mới hơn của hệ điều hành Windows.

10 lỗi nghiêm trọng được phát hiện ra trong tháng 8

Trong số 120 lỗ hổng nói trên, Microsoft đã xếp hạng 17 lỗ hổng là "nghiêm trọng" và 103 lỗ hổng là "quan trọng".

Năm lỗi nghiêm trọng (CVE-2020-1554 , CVE-2020-1492 , CVE-2020-1379 , CVE-2020-1477 và CVE-2020-1525) có liên quan đến Windows Media Foundation (WMF) của Microsoft - một nền tảng đa phương tiện và cơ sở hạ tầng để xử lý phương tiện kỹ thuật số trong Windows 7 đến Windows 10 và Windows Server 2008 đến 2019. Các lỗi xảy ra vào tháng 8 đã nâng tổng số lỗi nghiêm trọng lên con số 10, Allan Liska, kiến trúc sư bảo mật cấp cao tại Recorded Future chỉ ra.

"Những lỗ hổng này tồn tại trong cách mà WMF xử lý các đối tượng trong bộ nhớ. Việc khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công cài đặt phần mềm độc hại, thao túng dữ liệu hoặc tạo tài khoản mới," Liska cho biết.

Nhà nghiên cứu cũng kêu gọi các nhóm bảo mật vá CVE-2020-1046, một lỗi .NET framework thực thi mã từ xa (RCE) gây ảnh hưởng đến các phiên bản 2.0 đến 4.8.

"Lỗ hổng tồn tại trong cách .NET xử lý quá trình nhập dữ liệu. Kẻ tấn công có thể khai thác lỗ hổng này và giành quyền kiểm soát ở cấp quản trị đối với hệ thống dễ bị tấn công", Liska viết trong một ghi chú nghiên cứu của Patch Tuesday.

Richard Tsang, kỹ sư phần mềm cấp cao tại Rapid7, đã nhận xét rằng lỗ hổng thú vị nhất được vá trong tháng này là lỗ hổng nâng cao đặc quyền (CVE-2020-1472), nó có trong một số phiên bản của Windows Server. Bản vá là một công việc gồm nhiều bước.

Tsang đã viết, "CVE-2020-1472 là một lỗ hổng nâng cao đặc quyền, trong đó các kết nối với bộ điều khiển miền dễ bị tấn công bằng Giao thức từ xa Netlogon (NRP) có thể lấy được quyền truy cập của quản trị viên miền."

NRP được sử dụng để người dùng và máy xác thực, và thực hiện một loạt các chức năng gắn với việc tái tạo cơ sở dữ liệu sử dụng tài khoản, sao lưu domain controller và quản lý các mối quan hệ domain, theo Microsoft .

"Điểm độc đáo đằng sau bản vá của lỗ hổng bảo mật này là nó sẽ được hoàn thành trong hai bước và buộc phải trả lời câu hỏi "tôi có được khắc phục CVE-2020-1472" từ nhị phân "có/không" thành 'tùy thuộc vào', Tsang viết.

Ông cho biết thêm: "Theo mặc định, việc áp dụng bản vá Windows Server hiện hành sẽ giải quyết lỗ hổng bảo mật cho các thiết bị Windows mà không cần thực hiện thêm hành động nào, nhưng điều này ngụ ý rằng các thiết bị không phải Windows có thể có khả năng kích hoạt khai thác. Đó là bằng cách thực thi (có vẻ như sẽ được thực hiện tự động vào quý 1/2021 theo Microsoft) việc sử dụng Cuộc gọi thủ tục từ xa an toàn (RPC) với kênh bảo mật Netlogon thông qua chế độ thực thi DC, việc khắc phục sẽ thực sự hoàn tất".

Thưởng tới 100.000 USD cho việc tìm ra lỗ hổng bảo mật

Các nhà nghiên cứu có thể kiếm được tới 100.000 USD cho việc tìm ra lỗ hổng từ chương trình trải nghiệm những bản cập nhật mới nhất (Windows Insider Preview) vừa được cập nhật của Microsoft.

Microsoft đã cập nhật chương trình truy cập lỗi Windows Insider Preview với phần thưởng cao hơn và một cổng thông tin được cải tiến để những người săn tiền thưởng có thể thông báo các lỗi mà họ có thể tìm ra nhằm giúp Microsoft phát hiện ra nhiều lỗ hổng hơn trên các nền tảng của mình. Theo đó, Microsoft thông báo, công ty sẽ tăng mức phần thưởng đó trong bản cập nhật mới vào thời điểm đầu tháng 8/2020.

Chương trình trao thưởng Microsoft Windows Insider Preview là một phần của Chương trình Microsoft Windows Bounty, ra mắt vào năm 2017, bao gồm các lỗ hổng trong tất cả các tính năng của Windows Insider Preview, Hyper-V, Mitigation bypass, Windows Defender Application Guard, và Microsoft Edge.

Windows Insiders dành cho các nhà phát triển phần mềm chạy các bản xem trước phát hành trước của hệ điều hành Windows, được gọi là Windows 10 Insider Preview Builds. Các khoản tiền thưởng cho Windows Insider Preview vốn thường dao động từ 500 - 15.000 USD vào thời điểm đầu tiên khi chương trình ra mắt.