Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Dark Pink – nhóm APT mới tấn công Châu Á Thái Bình Dương, Châu Âu
Ngày 11/01/2023, nhóm nghiên cứu của Group-IB đã phát hiện một chiến dịch tấn công của một nhóm APT mới nhắm mục tiêu vào các quốc gia trong khu vực APAC và một tổ chức chính phủ châu Âu. Group-IB đặt tên cho nhóm APT này là Dark Pink và cho rằng nhóm này còn được gọi là Saaiwc Group (được phát hiện và đặt tên bởi nhóm nghiên cứu an ninh mạng Trung Quốc Anheng Information Hunting Lab).
Dark Pink bắt đầu hoạt động sớm nhất là vào giữa năm 2021, tăng mạnh vào giữa đến cuối năm 2022. Cho đến nay, Group-IB đã phát hiện ra 7 cuộc tấn công được xác nhận của Dark Pink. Các nạn nhân được xác nhận bao gồm hai cơ quan quân đội ở Philippines và Malaysia, các cơ quan chính phủ ở Campuchia, Indonesia và Bosnia và Herzegovina, và một tổ chức tôn giáo ở Việt Nam. Group-IB cũng biết về một cuộc tấn công không thành công vào một cơ quan phát triển nhà nước của Châu Âu có trụ sở tại Việt Nam.
Dark Pink sử dụng nhiều chuỗi tấn công khác nhau với các công cụ tùy chỉnh bằng một số ngôn ngữ lập trình, giúp chúng linh hoạt khi cố gắng vượt qua cơ sở hạ tầng phòng thủ và giành được sự duy trì trên mạng của nạn nhân. Tuy nhiên phần lớn các cuộc tấn công dựa trên các tập lệnh hoặc lệnh PowerShell nhằm khởi chạy giao tiếp giữa các mạng bị nhiễm và cơ sở hạ tầng của kẻ tấn công.
Một phần lớn thành công của Dark Pink là do các email lừa đảo được sử dụng để giành quyền truy cập ban đầu. Trong một cuộc tấn công như vậy, kẻ đe dọa đóng giả là một người xin việc đang ứng tuyển vào vị trí thực tập sinh PR và Truyền thông. Trong email, kẻ đe dọa đề cập rằng họ đã tìm thấy vị trí tuyển dụng trên một trang web tìm việc, điều này có thể gợi ý rằng kẻ đe dọa đã rà quét bảng công việc và sử dụng thông tin này để tạo email lừa đảo có liên quan.
Hình 1: Email lừa đảo được gửi bởi Dark Pink APT lưu ý việc lưu trữ hình ảnh ISO trên một trang web chia sẻ tệp.
Chuỗi tấn công đầu tiên sử dụng tệp ISO được gửi tới nạn nhân thông qua email lừa đảo trực tuyến. Tệp ISO này bao gồm một tệp DLL độc hại, chứa TelePowerDropper (tên do Group-IB đặt). Mục tiêu chính của tệp DLL này là duy trì sự tồn tại của TelePowerBot trong registry của máy bị nhiễm. Trong một số trường hợp, tệp DLL cũng có thể khởi chạy trình đánh cắp độc quyền Ctealer, phân tích dữ liệu từ các trình duyệt trên máy của nạn nhân và lưu trữ nó trong một thư mục cục bộ. Điều quan trọng cần lưu ý là việc khởi chạy bất kỳ loại trình đánh cắp nào là tùy chọn trong quá trình truy cập ban đầu. Dark Pink có thể gửi các lệnh đặc biệt để tải xuống và khởi chạy trình đánh cắp trong tất cả các giai đoạn tấn công.
Hình 2: sơ đồ của Kill Chain 1
Các tệp DLL đều được đóng gói. Khi tệp được khởi chạy, nó sẽ tự giải mã và chuyển quyền kiểm soát sang phiên bản giải nén của chính nó. Ngoài ra, khi tệp DLL được khởi chạy, một mutex sẽ được tạo. Một ví dụ cụ thể là: gwgXSznM-Jz92k33A-uRcCCksA-9XAU93r5. Sau khi hoàn thành bước này, một lệnh khởi động TelePowerBot sẽ được thêm vào autorun. TelePowerBot sẽ được khởi chạy mỗi khi người dùng đăng nhập vào hệ thống của họ bằng cách tạo registry key theo đường dẫn HKCU\Environment\UserInitMprLogonScript. Giá trị của khóa được tạo như sau:
- exe /p %system32% /m notepad.exe /c “cmd.exe /c whoami >> %appdata%\a.abcd && %appdata%\a.abcd && exit”
Đoạn mã trên sẽ khởi chạy tiện ích whoami, hiển thị thông tin về người dùng hiện tại của máy. Đầu ra được chuyển hướng đến một tệp và quá trình thực thi kết thúc.
Tại thời điểm này, chúng ta không biết rõ ràng giai đoạn tiếp theo được thực hiện và việc TelePowerBot sẽ bắt đầu như thế nào. Chìa khóa cho câu trả lời này là phần mở rộng tệp .abcd. Những kẻ tấn công tạo một tệp có tên mở rộng này như một phần của kỹ thuật có tên là Event Triggered Execution: Thay đổi liên kết tệp mặc định. Ý tưởng là thêm một trình xử lý để làm việc với phần mở rộng tệp không được nhận dạng trong registry key.
Hình 3: Lệnh để chạy khi tạo tệp có phần mở rộng .abcd
Ảnh chụp màn hình ở trên trình bày chi tiết một phần của lệnh PowerShell được kích hoạt khi tệp được tạo với phần mở rộng cụ thể .abcd . Các lệnh PowerShell được mã hóa base64 và obfucated. Kết quả của các lệnh này tương đối đơn giản: đọc khoá đăng ký, giải mã và khởi chạy TelePowerBot .
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Resource Development | T1583.006 | Acquire Infrastructure: Web Services |
Resource Development | T1587.001 | Develop Capabilities: Malware |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Initial Access | T1566.002 | Phishing: Spearphishing Link |
Execution | T1059.001 | Command and Scripting Interpreter: PowerShell |
Execution | T1204.002 | User Execution: Malicious File |
Persistence | T1546.001 | Event Triggered Execution: Change Default File Association |
Defense Evasion | T1574.002 | Hijack Execution Flow: DLL Side-Loading |
Defense Evasion | T1221 | Template Injection |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1112 | Modify Registry |
Defense Evasion | T1548.002 | Abuse Elevation Control Mechanism: Bypass User Account Control |
Credential Access | T1555.003 | Credentials from Password Stores: Credentials from Web Browsers |
Discovery | T1033 | System Owner/User Discovery |
Discovery | T1082 | System Information Discovery |
Discovery | T1518.001 | Software Discovery: Security Software Discovery |
Discovery | T1135 | Network Share Discovery |
Collection | T1025 | Data from Removable Media |
Collection | T1560.001 | Archive Collected Data: Archive via Utility |
Lateral Movement | T1091 | Replication Through Removable Media |
Command and Control | T1105 | Ingress Tool Transfer |
Exfiltration | T1537 | Transfer Data to Cloud Account |
Exfiltration | T1567.002 | Exfiltration Over Web Service: Exfiltration to Cloud Storage |
Exfiltration | T1048 | Exfiltration Over Alternative Protocol |
Indicators of Compromise (IoCs)
Files / hash SHA 1
24F65E0EE158FC63D98352F9828D014AB239AE16
D8DF672ECD9018F3F2D23E5C966535C30A54B71D
18CA159183C98F52DF45D3E9DB0087E17596A866
142F909C26BD57969EF93D7942587CDF15910E34
Files / hash MD5
edcd5ff1c2af9451405d430052c60660
a6e085c099d681a71b937631a5e88c06
c6abce3f12c14b7804a2532a3f5199b7
f02a96b84231da7626399ff1ca6fb33f
Mutex:
gwgXSznM-Jz92k33A-uRcCCksA-9XAU93r5
Nguồn: https://blog.group-ib.com/dark-pink-apt
https://mp.weixin.qq.com/s/G3gUjg9WC96NW4cRPww6gw
1.2 Chiến dịch gián điệp StrongPity nhắm mục tiêu người dùng Android
Ngày 10/01/2023, nhóm nghiên cứu của ESET đã xác định một chiến dịch đang hoạt động được cho là của nhóm StrongPity APT. Hoạt động kể từ tháng 11 năm 2021, chiến dịch đã phát tán một ứng dụng độc hại thông qua một trang web mạo danh Shagle – một dịch vụ trò chuyện video ngẫu nhiên cung cấp thông tin liên lạc được mã hóa giữa những người lạ. Thực tế, trang Shagle chính hãng hoàn toàn dựa trên web và không cung cấp ứng dụng di động để truy cập các dịch vụ của họ. Trang web mạo danh Shagle chỉ cung cấp ứng dụng Android để tải xuống và không thể phát trực tuyến dựa trên web.
Ứng dụng Android (StrongPity backdoor) là một phiên bản đầy đủ chức năng nhưng đã bị trojan hóa của ứng dụng Telegram hợp pháp, tuy nhiên, được trình bày dưới dạng ứng dụng Shagle. StrongPity backdoor có nhiều tính năng gián điệp khác nhau: 11 mô-đun của nó chịu trách nhiệm ghi âm các cuộc gọi điện thoại, thu thập tin nhắn SMS, danh sách nhật ký cuộc gọi, danh sách liên hệ, v.v. Nếu nạn nhân cấp các dịch vụ trợ năng cho ứng dụng StrongPity độc hại, một trong các mô-đun của nó cũng sẽ có quyền truy cập vào các thông báo đến và có thể lấy cắp thông tin liên lạc từ 17 ứng dụng như Viber, Skype, Gmail, Messenger cũng như Tinder.
Các mô-đun nhận được từ máy chủ C&C được lưu trữ trong bộ nhớ trong của StrongPity backdoor, “/data/user/0/org.telegram.messenger/files/.li/”:
- jar (mô-đun cm) – ghi lại các cuộc gọi điện thoại
- jar (mô-đun nt) – thu thập văn bản của các tin nhắn thông báo đến từ 17 ứng dụng
- jar (mô-đun fm/fp) – thu thập danh sách tệp trên thiết bị
- jar (mô-đun ms) – lạm dụng các dịch vụ trợ năng để theo dõi các ứng dụng nhắn tin bằng cách lấy trộm tên liên hệ, tin nhắn trò chuyện và ngày tháng
- jar (sm module) – thu thập các tin nhắn SMS được lưu trữ trên thiết bị
- jar (mô-đun lo) – lấy vị trí thiết bị
- jar (mô-đun sy) – thu thập thông tin hệ thống và thiết bị
- jar (ia module) – thu thập danh sách các ứng dụng đã cài đặt
- jar (mô-đun cn) – thu thập danh sách liên hệ
- jar (mô-đun ac) – thu thập danh sách tài khoản thiết bị
- jar (mô-đun cl) – thu thập danh sách nhật ký cuộc gọi
Tất cả dữ liệu thu được được lưu trữ rõ ràng trong /data/user/0/org.telegram.messenger/databases/outdata trước khi được mã hóa bằng AES và gửi đến máy chủ C&C.
Nếu thiết bị đã được root, phần mềm độc hại sẽ âm thầm cố gắng cấp quyền WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE để bật các dịch vụ trợ năng và cấp quyền truy cập thông báo. Sau đó, StrongPity sẽ cố gắng vô hiệu hóa ứng dụng SecurityLogAgent (com.samsung.android.securitylogagent), đây là ứng dụng hệ thống chính thức giúp bảo vệ tính bảo mật của thiết bị Samsung và vô hiệu hóa tất cả thông báo ứng dụng đến từ chính phần mềm độc hại có thể được hiển thị với nạn nhân trong tương lai trong trường hợp có lỗi ứng dụng, sự cố hoặc cảnh báo. Cửa hậu StrongPity không cố gắng root thiết bị.
Thuật toán AES sử dụng chế độ CBC và các khóa được mã hóa cứng để giải mã các mô-đun đã tải xuống:
- AES key – aaaanothingimpossiblebbb
- AES IV – aaaanothingimpos
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Persistence | T1398 | Boot or Logon Initialization Scripts |
Persistence | T1624.001 | Event Triggered Execution: Broadcast Receivers |
Defense Evasion | T1407 | Download New Code at Runtime |
Defense Evasion | T1406 | Obfuscated Files or Information |
Defense Evasion | T1628.002 | Hide Artifacts: User Evasion |
Defense Evasion | T1629.003 | Impair Defenses: Disable or Modify Tools |
Discovery | T1420 | File and Directory Discovery |
Discovery | T1418 | Software Discovery |
Discovery | T1422 | System Network Configuration Discovery |
Discovery | T1426 | System Information Discovery |
Collection | T1417.001 | Input Capture: Keylogging |
Collection | T1517 | Access Notifications |
Collection | T1532 | Archive Collected Data |
Collection | T1430 | Location Tracking |
Collection | T1429 | Audio Capture |
Collection | T1513 | Screen Capture |
Collection | T1636.002 | Protected User Data: Call Logs |
Collection | T1636.003 | Protected User Data: Contact List |
Collection | T1636.004 | Protected User Data: SMS Messages |
Command and Control | T1437.001 | Application Layer Protocol: Web Protocols |
Command and Control | T1521.001 | Encrypted Channel: Symmetric Cryptography |
Exfiltration | T1646 | Exfiltration Over C2 Channel |
Indicators of Compromise (IoCs)
Files / hash SHA 1
50F79C7DFABECF04522AEB2AC987A800AB5EC6D7
77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91
5A15F516D5C58B23E19D6A39325B4B5C5590BDE0
D44818C061269930E50868445A3418A0780903FE
F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE
3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E
5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7
BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0
ED02E16F0D57E4AD2D58F95E88356C17D6396658
F754874A76E3B75A5A5C7FE849DDAE318946973B
E46B76CADBD7261FE750DBB9B0A82F262AFEB298
D9A71B13D3061BE12EE4905647DDC2F1189F00DE
C&C IP
141.255.161[.]185
185.12.46[.]138
Nguồn: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/
1.3 Aurora Stealer – sử dụng chiến thuật biến hình
Ngày 18/01/2023, nhóm nghiên cứu của Cyble Research and Intelligence Labs (CRIL) đã theo dõi các chiến dịch lừa đảo khác nhau sử dụng các trang web lừa đảo bắt chước các ứng dụng phổ biến nhằm lây nhiễm cho số lượng nạn nhân nhiều nhất có thể. Trong đó, Aurora Stealer là ví dụ mới nhất về việc sử dụng chiến thuật biến hình.
Ngày 16 tháng 1 năm 2023, CRIL ban đầu đã xác định một trang web lừa đảo, “hxxps[:]//messenger-download[.]top”, đang mạo danh một trang web ứng dụng trò chuyện hợp pháp.
Ngày hôm sau, 17 tháng 1 năm 2023, cùng trang web lừa đảo đó đã bị phát hiện đang bắt chước một trang web TeamViewer hợp pháp, cho thấy rằng những kẻ đe dọa đằng sau chiến dịch này đang tích cực thay đổi và tùy chỉnh các trang web lừa đảo của chúng để nhắm mục tiêu vào nhiều ứng dụng phổ biến.
Khi người dùng nhấp vào nút “Tải xuống” trên trang web lừa đảo, sau đó trang web này tải xuống phần mềm độc hại có tên “messenger.exe” và “teamviewer.exe” từ các URL sau:
- hxxps[:]//download[.]balint[.]info[.]hu/messenger[.]exe
- hxxps[:]//kodfem[.]hemsida[.]eu/downloads/teamviewer[.]exe
Hình 4 – Trang lừa đảo trên Messenger tải xuống phần mềm đánh cắp Aurora dưới dạng teamviewer.exe
Các tệp “messenger.exe” và “teamviewer.exe” đã được tải xuống thực sự là các mẫu Aurora Stealer độc hại, đã được đệm thêm số 0 ở cuối để tăng kích thước của chúng lên khoảng 260MB. Các kẻ tấn công sử dụng phương pháp này để tránh bị phần mềm chống vi-rút phát hiện vì các tệp lớn hơn có thể khó xử lý hơn đối với AV.
Aurora là một loại phần mềm độc hại nhằm đánh cắp thông tin cá nhân; nó nhắm mục tiêu dữ liệu đến trình duyệt web, ví tiền điện tử, tiện ích mở rộng trình duyệt, Telegram và các thư mục người dùng cụ thể.
Sau khi thu thập tất cả thông tin cần thiết, nó sẽ lưu dữ liệu ở định dạng JSON, nén dữ liệu bằng GZIP và chuyển đổi dữ liệu thành định dạng mã hóa Base64 trước khi gửi dữ liệu đến máy chủ Command-and-Control (C&C).
CRIL cũng cho biết sự gia tăng về số lượng mẫu phần mềm độc hại được đệm bằng dữ liệu không cần thiết để tăng kích thước nhằm tránh bị phát hiện. Kỹ thuật này cũng được quan sát thấy trong các phần mềm đánh cắp khác, chẳng hạn như RedLine, Vidar và RecordBreaker.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Execution | T1204 | User Execution |
Execution | T1059 | Command and Scripting Interpreter |
Defense Evasion | T1047 | Windows Management Instrumentation |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1497 | Virtualization/Sandbox Evasion |
Credential Access | T1003 | OS Credential Dumping |
Credential Access | T1056 | Input Capture |
Credential Access | T1552 | Credentials in Registry |
Discovery | T1082 | System Information Discovery |
Discovery | T1518 | Security Software Discovery |
Discovery | T1083 | File and Directory Discovery |
Discovery | T1087 | Account Discovery |
Collection | T1005 | Data from Local System |
Command and Control | T1071 | Application Layer Protocol |
Command and Control | T1095 | Non-Application Layer Protocol |
Indicators of Compromise (IoCs)
Files / hash SHA 256
b810b7d416251367ef790bc9a8a9830a69760ba5c1b83055e9a0647270629d9c
fd17b39833ee0fae6cc8549dfa602adff3cf002cd0a0ef8fa63876ec50a74552
44b64cb2be0a5e9fd51528f00a308df71ead226c7cf733ed2568ada07c9044a8
c7f43e2afe62a622f77f888f56712a41aec56d5a765a95585f69e870359119c9
C&C IP/URL
hxxps[:]//messenger-download[.]top
hxxps[:]//download[.]balint[.]info[.]hu/messenger[.]exe
hxxps[:]//kodfem[.]hemsida[.]eu/downloads/teamviewer[.]exe
45[.]15[.]156[.]210
Nguồn: https://blog.cyble.com/2023/01/18/aurora-a-stealer-using-shapeshifting-tactics/
2 Malware
2.1 Phân tích mẫu mã độc sử dụng trong chiến dịch tấn công Nga
Các nhóm tấn công APT hiện nay sử dụng một số tệp tin không phổ biến như file (.iso), (.vhd) để phát tán và thực thi mã độc nhằm lẩn tránh cơ chế phát hiện của các phần mềm mã độc. Nhóm nghiên cứu thuộc RedDrip team gần đây theo dõi chiến dịch tấn công sử dụng file .vhdx để phát tán mã độc nhắm vào các cơ quan Chính phủ Liên Bang Nga
Thông qua gửi email phishing đính kèm file đĩa cứng ảo (vhdx), bên trong file vhdx bao gồm payload để thực thi ở các giai đoạn tiếp theo (next-stage). Trong quá trình tấn công, ghi nhận các payload là Warzone RAT và Loda RAT.
Các mẫu thu thập được bao gồm decoy file đều có nội dung bằng tiếng Nga. Một số mẫu định dạng lnk thực hiện download thêm các payload mới để thực thi ở các giai đoạn sau (next stage), một số mẫu khác các file decoy và Warzone RAT
Warzone RAT
Warzone RAT là một trojan thương mại được sử dụng bởi nhiều nhóm tấn công với các tính năng như remote desktop, keylogging, đánh cắp mật khẩu, download và thực thi các payload mới, thực thi command. Ở mẫu mã độc thu được Warzone RAT sẽ thiết lập kêt snoois TCP tới máy chủ hbfyewtuvfbhsbdjhjwebfy.net (193.188.20.163) và thực thi các câu lệnh từ xa:
Loda RAT
Mẫu mã độc thu được là Loda RAT được viết bằng ngôn ngữ C# và được obfuscated. Ngoài ra, file còn được thêm nhiều byte 0x0 vào cuối file PE khiến kích thước của file tăng lên 741MB. Sau khi thực thi, mã độc sẽ drop Loda RAT ở thư mục “%appdata%” và thực thi
Trước khi thực hiện các chức năng, mã độc sẽ kiểm tra các phần mềm AV được cài đặt trên máy nạn nhân thông qua WMI
Sau quá trình kiểm tra, mã độc sẽ thu thập một số thông tin của nận nhân như phiên bản hệ điều hành, … tạo persistence ở thư mục startup, tải lên các thông tin thu thập được và chụp ảnh màn hình
Tùy thuộc dữ liệu trả về từ C2 mà mã độc sẽ thực thi các hành vi tương ứng như ghi âm, upload, download file, thực thi file được chỉ định… Ngoài ra, mã độc cũng download file SQLite3.dll nhằm trích xuất các thông tin của nạn nhân từ các trình duyệt
Từ các C2 thu thập được, nhóm nghiên cứu cũng tìm được file Trojan “systeml.dll” được viết bằng ngôn ngữ C#, có chức năng tải xuống công cụ Winscp để đồng bộ hóa các file với các máy tính từ xa, đồng thời đặt lập lịch cho công cụ này.
Ở C2: 179.60.150.118, file được đóng gói bằng Pyinstaller có nhiệm vụ tạo kết nối––– tới địa chỉ 179.60.150.118:443 để tải thêm các payload mới và thực thi, các payload này là Warzone RAT hoặc CS Trojan
Indicators of Compromise (IoCs)
MD5
4d75d26590116a011cbebb87855f4b4f
574e031a4747d5e6315b894f983d3001
56d1e9d11a8752e1c06e542e78e9c3e4
db9f2d7b908755094a2a6caa35ff7509
8f52ea222d64bbc4d629ec516d60cbaf
c3b3cb77fcec534763aa4d3b697c2f8c
9ea108e031d29ee21b3f81e503eca87d
23d5614fcc7d2c54ed54fb7d5234b079
6be3aecc5704c16bf275e17ca8625f46
e4a678b4aa95607a2eda20a570ffb9e1
11ed3f8c1a8fce3794b650bbdf09c265
8a548f927ab546efd76eeb78b8df7d4c
6d710d1a94445efb0890c8866250958e
6b42e4c5aecd592488c4434b47b15fbb
d82743e8f242b6a548a17543c807b7b0
32a0a7fa5893dd8d1038d1d1a9bc277a
bd5c665187dfb73fc81163c2c03b2ddf
a07c6e759e51f856c96fc3434b6aa9f8
0dcd949983cb49ad360428f464c19a9e
87125803f156d15ed3ce2a18fe9da2b8
4f7e2f5b0f669599e43463b70fb514ad
00b9b126a3ed8609f9c41971155307be
C2:
179.60.150.118
45.61.137.32
89.22.233.149
193.149.129.151
193.149.176.254
Nguồn tham khảo: https://ti.qianxin.com/blog/articles/Kasablanka-Group-Probably-Conducted-Compaigns-Targeting-Russia/
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – January 2023
Trong tháng 1, Microsoft đã phát hành các bản vá cho 98 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; .NET Core và Visual Studio Code, 3D Builder, Azure Service Fabric Container, Windows BitLocker, Windows Defender, Windows Print Spooler Components, và Microsoft Exchange Server. Trong đó có 11 lỗ hổng được đánh giá mức độ Nghiêm trọng, 87 lỗ hổng được đánh giá là Improtant.
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2023-21743 – Microsoft SharePoint Server Security Feature Bypass Vulnerability.
CVSS v3: 8.2/10
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực tạo kết nối “anonymous connection” với hệ thống SharePoint bị ảnh hưởng.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21743
3.1.2 CVE-2023-21674 – Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability.
CVSS v3: 8.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền thực thi đoạn mã độc hại bằng quyền SYSTEM. Lỗ hổng được ghi nhận đang được khai thác bởi nhiều nhóm tấn công.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674
3.1.3 CVE-2023-21763/CVE-2023-21764 – Microsoft Exchange Server Elevation of Privilege Vulnerability.
CVSS v3: 7.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Microsoft Exchange Server 2019 Cumulative Update 11
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21763
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21764
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2022-47966- Pre-authentication Remote Code Execution vulnerability.
Severity: Critical
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên hệ thống bị ảnh hưởng
Phiên bản ảnh hưởng:
Access Manager Plus* 4307 và các phiên bản thấp hơn
Active Directory 360** 4309 và các phiên bản thấp hơn
ADAudit Plus** 7080 và các phiên bản thấp hơn
ADManager Plus** 7161 và các phiên bản thấp hơn
ADSelfService Plus** 6210 và các phiên bản thấp hơn
Analytics Plus* 5140 và các phiên bản thấp hơn
Application Control Plus* 10.1.2220.17 và các phiên bản thấp hơn
Asset Explorer** 6982 và các phiên bản thấp hơn
Browser Security Plus* 11.1.2238.5 và các phiên bản thấp hơn
Device Control Plus* 10.1.2220.17 và các phiên bản thấp hơn
Endpoint Central* 10.1.2228.10 và các phiên bản thấp hơn
Endpoint Central MSP* 10.1.2228.10 và các phiên bản thấp hơn
Endpoint DLP* 10.1.2137.5 và các phiên bản thấp hơn
Key Manager Plus* 6400 và các phiên bản thấp hơn
OS Deployer* 1.1.2243.0 và các phiên bản thấp hơn
PAM 360* 5712 và các phiên bản thấp hơn
Password Manager Pro* 12123 và các phiên bản thấp hơn
Patch Manager Plus* 10.1.2220.17 và các phiên bản thấp hơn
Remote Access Plus* 10.1.2228.10 và các phiên bản thấp hơn
Remote Monitoring and Management (RMM)* 10.1.40 và các phiên bản thấp hơn
ServiceDesk Plus** 14003 và các phiên bản thấp hơn
ServiceDesk Plus MSP** 13000 và các phiên bản thấp hơn
SupportCenter Plus** 11017 to 11025
Vulnerability Manager Plus* 10.1.2220.17 và các phiên bản thấp hơn
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html