Microsoft hôm thứ Ba đã phát hành một đợt khác của cập nhật bảo mật đối với hệ điều hành Windows và phần mềm được hỗ trợ khác, xử lý 50 lỗ hổng bảo mật, bao gồm 6 lỗ hổng zero-day được cho là đang bị tấn công tích cực.
Các lỗi đã được xác định và giải quyết trong Microsoft Windows, .NET Core và Visual Studio, Microsoft Office, Microsoft Edge (dựa trên Chromium và EdgeHTML), SharePoint Server, Hyper-V, Visual Studio Code – Kubernetes Tools, Windows HTML Platform và Windows Máy tính từ xa.
Trong số 50 lỗi này, 5 lỗi được xếp hạng Nghiêm trọng và 45 lỗi được xếp hạng Quan trọng về mức độ nghiêm trọng, với 3 trong số các vấn đề được công khai tại thời điểm phát hành. Các lỗ hổng đang được khai thác tích cực được liệt kê dưới đây:
- CVE-2021-33742 (Điểm CVSS: 7,5) – Lỗ hổng thực thi mã từ xa trên nền tảng Windows MSHTML
- CVE-2021-33739 (Điểm CVSS: 8,4) – Thư viện lõi Microsoft DWM Nâng cao lỗ hổng đặc quyền
- CVE-2021-31199 (Điểm CVSS: 5,2) – Nhà cung cấp mật mã nâng cao của Microsoft Nâng cao lỗ hổng đặc quyền
- CVE-2021-31201 (Điểm CVSS: 5,2) – Nhà cung cấp mật mã nâng cao của Microsoft Nâng cao lỗ hổng đặc quyền
- CVE-2021-31955 (Điểm CVSS: 5.5) – Lỗ hổng tiết lộ thông tin nhân Windows
- CVE-2021-31956 (Điểm CVSS: 7,8) – Windows NTFS Nâng cao lỗ hổng đặc quyền
Microsoft đã không tiết lộ bản chất của các cuộc tấn công, mức độ lan rộng của chúng hoặc danh tính của những kẻ đe dọa đang khai thác chúng. Nhưng thực tế là bốn trong số sáu lỗ hổng là lỗ hổng leo thang đặc quyền cho thấy rằng những kẻ tấn công có thể lợi dụng chúng như một phần của chuỗi lây nhiễm để đạt được quyền cao trên các hệ thống được nhắm mục tiêu để thực thi mã độc hoặc rò rỉ thông tin nhạy cảm.
Nhà sản xuất Windows cũng lưu ý rằng cả CVE-2021-31201 và CVE-2021-31199 đều giải quyết các lỗi liên quan đến CVE-2021-28550, một lỗ hổng thực thi mã tùy ý đã được Adobe sửa chữa vào tháng trước mà họ cho rằng đã bị “khai thác một cách tự nhiên trong các cuộc tấn công hạn chế nhắm vào người dùng Adobe Reader trên Windows.”
Nhóm phân tích mối đe dọa của Google, đã được thừa nhận là đã báo cáo CVE-2021-33742 cho Microsoft, nói “cái này có vẻ[s] trở thành một công ty khai thác thương mại cung cấp năng lực cho các quốc gia hạn chế nhắm mục tiêu đến Đông Âu / Trung Đông. “
Về phần mình, công ty an ninh mạng Kaspersky của Nga đã nêu chi tiết rằng CVE-2021-31955 và CVE-2021-31956 đã bị lạm dụng trong chuỗi khai thác zero-day của Chrome (CVE-2021-21224) trong một loạt các cuộc tấn công có chủ đích nhắm vào nhiều công ty vào ngày 14 và 15 tháng 4. Các cuộc xâm nhập được cho là do một tác nhân đe dọa mới có tên “PuzzleMaker.”
“Mặc dù chúng tôi không thể truy xuất khai thác được sử dụng để thực thi mã từ xa (RCE) trong trình duyệt web Chrome, nhưng chúng tôi có thể tìm và phân tích mức khai thác nâng cao đặc quyền (EoP) được sử dụng để thoát khỏi hộp cát và nhận các đặc quyền của hệ thống , “Các nhà nghiên cứu của Kaspersky Lab nói.
Ở những nơi khác, Microsoft đã sửa nhiều lỗ hổng thực thi mã từ xa bao gồm Paint 3D, Microsoft SharePoint Server, Microsoft Outlook, Microsoft Office Graphics, Microsoft Intune Management Extension, Microsoft Excel và Microsoft Defender, cũng như một số lỗi báo cáo đặc quyền trong Microsoft Edge, Windows Filter Manager , Windows Kernel, Windows Kernel-Mode Driver, Windows NTLM Elevation và Windows Print Spooler.
Để cài đặt các bản cập nhật bảo mật mới nhất, người dùng Windows có thể đi tới Bắt đầu> Cài đặt> Cập nhật & Bảo mật> Windows Update hoặc bằng cách chọn Kiểm tra các bản cập nhật Windows.
Bản vá phần mềm từ các nhà cung cấp khác
Cùng với Microsoft, một số nhà cung cấp khác cũng đã phát hành một loạt các bản vá lỗi vào thứ Ba, bao gồm –
