Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Các hoạt động tấn công gần đây của APT-C-35
Ngày 07/02/2023, Viện Nghiên Cứu Mối Đe Dọa Nâng Cao 360 cho biết đã liên tục phát hiện ra các cuộc tấn công của tổ chức APT-C-35 (Brainworm) trong quá trình săn lùng mối đe dọa hàng ngày. APT-C-35 (Brainworm), còn được gọi là Donot, là một tổ chức APT đến từ Nam Á. Chúng chủ yếu tiến hành các hoạt động gián điệp mạng chống lại các cơ quan chính phủ ở Pakistan và các quốc gia, khu vực lân cận, chủ yếu để đánh cắp thông tin nhạy cảm.
Trong đợt tấn công này, APT-C-35 vẫn sử dụng các tài liệu macro làm vật mang mã độc, giải phóng và thực thi tải trọng độc hại, tải mô-đun điều khiển từ xa. Ngoài ra, hoạt động đánh cắp và mã độc hại trong toàn bộ quá trình chứa thông tin Ký điện tử.
Hình 1: Quá trình tấn công gần đây của APT-C-35
Tổ chức APT-C-35 (Brainworm) sử dụng các tệp PPT hoặc XLS làm phương thức xâm nhập. Khi nạn nhân mở tệp độc hại, nó sẽ ngay lập tức giải phóng một tệp nén, một tệp batch và tạo 3 tác vụ lập lịch. Trong số đó, tác vụ lập lịch Tls_SSL thực thi tệp batch sau mỗi 4 phút. Chức năng chính của tệp batch là giải nén tệp nén, lấy tệp thực thi độc hại comd.exe và xóa tác vụ lập lịch Tls_SSL. Tác vụ lập lịch My_Drive thực thi comd.exe thường xuyên và comd.exe chịu trách nhiệm tiếp tục tải xuống giai đoạn tải tiếp theo (creep.exe), đồng thời tải xuống tập lệnh pbs.bat làm mục khởi động của tác vụ Pls_SSL để khởi chạy tệp creep.exe. Chức năng chính của creep.exe là tải xuống mô-đun điều khiển từ xa mnps.exe, từ đó thực hiện các hoạt động độc hại.
Tệp comd.exe và creep.exe được ký điện tử “maxforsec”, nhưng chữ ký không còn hợp lệ.
Tệp mnps.exe sử dụng chữ ký là “fukuyashi”.
Thay đổi về kỹ, chiến thuật:
- Tải trọng độc hại chủ yếu thu được thông qua tải xuống mã macro trong quá trình tấn công trước. Trong đợt tấn công này, tải trọng độc hại chủ yếu thu được qua các tệp nén và giải nén chúng thông qua mã macro.
- Mô-đun trung gian ở dạng tệp thực thi EXE, tệp dạng DLL không còn được sử dụng làm thành phần tấn công trung gian.
- Ngoài sự khác biệt về số lệnh, các mẫu lần này và các mẫu trước đó cũng đã trải qua một số thay đổi trong thuật toán giải mã. Các mẫu trước đó trừ một số nhỏ từ mỗi chuỗi ký tự để giải mã. Trong cuộc tấn công này, nó không còn là một số cố định trừ đi từng bit của chuỗi. Trong một số mẫu, một số chuỗi bị trừ đi 7 và một số chuỗi bị trừ đi 10.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Execution | T1204.002 | User Execution: Malicious File |
Execution | T1059.003 | Windows Command Shell |
Execution | T1053.005 | Scheduled Task/Job: Scheduled Task |
Persistence | T1053.005 | Scheduled Task/Job: Scheduled Task |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1036.001 | Masquerading: Invalid Code Signature |
Defense Evasion | T1497.003 | Virtualization/Sandbox Evasion: Time Based Evasion |
Defense Evasion | T1140 | Deobfuscate/Decode Files or Information |
Command and Control | T1104 | Multi-Stage Channels |
Impact | T1071.001 | Application Layer Protocol: Web Protocols |
Indicators of Compromise (IoCs)
Files / hash MD5
9060531460f7152ca156aeeca090a13c
68c6c735918e55954b3d22ce72c769a6
d947bf46867d66e645071d53d6b106bb
993befa3da4e0d10ee61f0b78c18d4cd
fac06f63a30fcef45c3e7763442ed2ac
828174ee0a9f25eaad48957ced66b81d
8bee6f27245daf1c860713affb575731
3e6ba2c0128030844d4a02088774802b
06e0d216969caa0dfd98269a860b153b
676a10be289cf8978af6cdbdba536678
105fa5bc6ce7afb40b02054d669e9204
e55d17ba37bfba78dc4cdbd8cca9f36b
3cd6fc1309294e4eb4bfb2e861e2f570
309c1cd225571b18c82a1a25aff6ad02
b8cdc170848ed8716de3653a5f1e533f
1fb52729c33875ad0be381e98b143673
43298c256c4dc626a5788caa3e309d56
992acca21f1f0d818fb7d599d69d93b7
1e606b8a3c288f988152456af206ff72
d5166aa339e25f3f7f9d1d7a186650bc
d4d0fc82312c60b6084ccab7245530a9
992acca21f1f0d818fb7d599d69d93b7
dbd11c7f0074580015daa16b5900ac7b
10de5e96ca4ba920f4b7b67258033fdb
c9c77a74e732d8d4b37aab1037e6569a
C&C:
blogs.libraryutilitis[.]live
furnish.spacequery[.]live
best.tasterschoice[.]shop
blogs.tourseasons[.]xyz
URL:
http://furnish.spacequery[.]live/rikkdkeiirt0or784jjk2/kdjj48djj46dTrjd7a
http://furnish.spacequery[.]live:443/xuiudguibat/nmioepjarjkuarkju
http://furnish.spacequery[.]live:443/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
http://furnish.spacequery[.]live/uiscuerhsflkjs1/liorijfiahjruuehajkhrj
http://furnish.spacequery[.]live/xuiudguibat/nmioepjarjkuarkju
http://furnish.spacequery[.]live/uiuernsicudkfjs2/tiryu3kkdiesao
http://blogs.tourseasons[.]xyz/rhjhdjrjkfakjhrhjk
http://blogs.tourseasons[.]xyz/msiioi3kkx/irahjdfjkjkjlkjfjl
http://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
http://blogs.libraryutilitis[.]live/pjvrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
http://blogs.libraryutilitis[.]live/pjnrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
http://blogs.libraryutilitis[.]live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf
http://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjh
http://blogs.libraryutilitis[.]live/olskh1ytg1s/vkajsrkaljrkjfa
http://blogs.libraryutilitis[.]live/thfjhsgjhtab/niiorjkrkjk
http://blogs.libraryutilitis[.]live/redpanda/biorjkdkrkjrkj
http://blogs.libraryutilitis[.]live/redpanda1/bnrkajrkirklrl
https://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjh
https://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka
http://best.tasterschoice[.]shop/ceioriakgfigalrj/
Nguồn: https://mp.weixin.qq.com/s/rslBGQgTL_jZD73AJqI05Q
1.2 NewsPenguin, một nhóm đe dọa chưa được biết đến trước đây, nhắm mục tiêu Pakistan
Ngày 09/02/2023, Nhóm nghiên cứu & tình báo của BlackBerry tiết lộ một nhóm đe dọa chưa được biết trước đây đang nhắm mục tiêu vào các tổ chức ở Pakistan bằng cách sử dụng cơ chế phân phối tải trọng phức tạp. Kẻ đe dọa lạm dụng Hội nghị & Triển lãm Hàng hải Quốc tế Pakistan (PIMEC-2023) để dẫn dụ nạn nhân của chúng.
Hình 2: Tài liệu độc hại do NewsPenguin phát tán thông qua các kỹ thuật lừa đảo
Kẻ tấn công đã gửi các email lừa đảo được nhắm mục tiêu với một tài liệu đính kèm có mục đích là hướng dẫn sử dụng triển lãm cho PIMEC-23. Tài liệu sử dụng kỹ thuật tiêm mẫu từ xa và nhúng mã macro Visual Basic for Applications (VBA) độc hại để cung cấp giai đoạn tiếp theo của cuộc tấn công, dẫn đến việc thực thi tải trọng cuối cùng.
Tải trọng cuối cùng là một công cụ gián điệp tiên tiến được mã hóa XOR bằng khóa mã hóa “penguin”. Tham số tên tiêu đề phản hồi bố trí nội dung được đặt thành “getlatestnews” trong phản hồi HTTP. Do khóa XOR duy nhất “penguin” và tham số tên “getlatestnews”, nhóm nghiên cứu quyết định gọi kẻ đe dọa này là NewsPenguin.
Kẻ tấn công sử dụng một công cụ gián điệp mới, chưa từng thấy trước đây. Công cụ này chứa nhiều tính năng có thể được sử dụng để vượt qua sandbox và máy ảo (VM). Bao gồm việc sử dụng GetTickCount để xác định sandbox bỏ qua chức năng ngủ, kiểm tra kích thước ổ cứng và yêu cầu hơn 10GB RAM. Sau khi chạy, NewsPenguin tạo một mutex có tên “Windows.20H2.85685475”.
Khi thiết lập kết nối lần đầu tiên, máy chủ sẽ đăng ký hệ thống bị nhiễm với một mã định danh duy nhất cụ thể dài 12 ký tự. Mã định danh duy nhất này sau đó được sử dụng để liên lạc giữa bot và máy chủ.
NewsPenguin sau đó kết nối với một máy chủ được mã hóa cứng – “updates[.]win32[.]live:443/search:<unique_identifier>” – sau đó nó lấy địa chỉ IP của máy chủ chỉ huy và kiểm soát (C2) để bắt đầu nhận lệnh điều khiển.
Đáng chú ý là NewsPenguin đợi 300000 mili giây (năm phút) giữa mỗi lệnh. Hơn nữa, mỗi lệnh mà bot nhận được từ máy chủ đều được mã hóa base64. Khi các nhà nghiên cứu bảo mật chạy phần mềm độc hại hoặc các mẫu trong sandbox, những mẫu đó thường có giới hạn thời gian dưới năm phút cho mỗi mẫu. Điều này có nghĩa là nếu một mẫu như vậy được chạy trong sandbox, nó sẽ không được tái tạo đầy đủ do thời gian dừng. Thay vào đó, nó sẽ chấm dứt thực thi khi hết thời gian chờ mà không tạo ra bất kỳ bằng chứng độc hại nào. Đây là một kỹ thuật để vượt qua phân tích phần mềm độc hại tự động bằng sandbox.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566 | Phishing: Spearphishing Attachment |
Execution | T1204.002 | Malicious File |
Execution | T1059.005 | Visual Basic |
Execution | T1059.003 | Windows Command Shell |
Execution | T1203 | Exploitation for Client Execution |
Execution | T1047 | Windows Management Instrumentation (WMI) |
Execution | T1059.001 | Powershell |
Execution | T1559.001 | Component Object Model |
Privilege Escalation | T1055 | Process Injection |
Privilege Escalation | T1055.002 | Portable Executable Injection |
Defense Evasion | T1480 | Execution Guardrails |
Defense Evasion | T1221 | Template Injection |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1140 | Deobfuscate Decode Files or Information |
Defense Evasion | T1070.004 | Indicator Removal: File Deletion |
Defense Evasion | T1564.001 | Hidden Files and Directories |
Defense Evasion | T1112 | Modify Registry |
Defense Evasion | T1036.005 | Masquerading: Match Legitimate Name or Location |
Command and Control | T1105 | Ingress Tool Transfer |
Command and Control | T1071.001 | Web Protocols |
Command and Control | T1132.001 | Data Encoding: Standard Encoding |
Command and Control | T1573.001 | Encrypted Channel: Symmetric Cryptography |
Exfiltration | T1041 | Exfiltration over C2 Channel |
Exfiltration | T1029 | Scheduled Transfer |
Discovery | T1083 | File and Directory Discovery |
Discovery | T1057 | Process Discovery |
Discovery | T1082 | System Information Discovery |
Discovery | T1497.003 | Virtualization/Sandbox Evasion: Time Based Evasion |
Indicators of Compromise (IoCs)
Files / hash MD5
fcae6b88640b58d289df42ae2d15e3ca
28e5fceaa9878bfbe967639cf2a2fb9b
5abd9f1828e3c6d899b9c8ba79c16473
1cb100825912dd70c3a8f8e11fadc97f
C219A8C50624F9DD9FC0F3C32510EA77
BFEC9148F90D1565AE334302D79B890964DD4C89
314328E63B2E55A9C20BBDA313AB4D04
8B0BF3F5F0AC4605C8C5EF73EB121757
861B80A75ECFB083C46F6E52277B69A9
URL / IP
hXXp[:]//windowsupdates[.]shop/test[.]dotx
updates.win32[.]live
185.198.59[.]109
51.222.103[.]8
Mutex
Windows.20H2.85685475
1.3 Dalbit (m00nlight): Chiến dịch tấn công APT của nhóm hacker Trung Quốc
Ngày 13/02/2023, nhóm nghiên cứu của ASEC đã theo dõi các hoạt động tấn công của một nhóm hacker từ 16/08/2022. Nhóm này luôn dựa vào các công cụ nguồn mở và thiếu đặc điểm riêng biệt để lập hồ sơ cho chúng. Kẻ tấn công đã lạm dụng máy chủ của các công ty Hàn Quốc làm C2 (Command & Control). Sau khi một phần máy chủ của công ty Hàn Quốc mà kẻ tấn công sử dụng đã bị chặn, chúng bắt đầu sử dụng máy chủ lưu trữ có tên “*.m00nlight.top” làm máy chủ tải xuống và C2 của chúng. Do đó, nhóm ASEC đã quyết định gọi nhóm này là Dalbit (m00nlight.top) theo từ tiếng Hàn có nghĩa là ‘Moonlight’.
Hình 3. Sơ đồ tóm tắt quá trình xâm nhập của nhóm Dalbit
- Initial Access
Kẻ tấn công nhắm mục tiêu vào các máy chủ web hoặc máy chủ SQL mà chúng có quyền truy cập bằng cách khai thác các lỗ hổng. Sau đó, chúng kiểm soát hệ thống bằng các công cụ như WebShell.
- Command & Control
Nhiều công cụ hack khác nhau được tải xuống thông qua WebShell như công cụ leo thang đặc quyền, công cụ proxy và công cụ quét mạng.
- Proxy & Internal Reconnaissance
Kẻ tấn công cài đặt một công cụ proxy như FRP (Fast Reverse Proxy) trước khi cố gắng kết nối với máy chủ lưu trữ của chúng (2-1) hoặc máy chủ của công ty mà chúng xâm nhập trước đó (2-2) thông qua Máy tính Từ xa (RDP).
Chúng sử dụng các công cụ quét mạng và công cụ đánh cắp tài khoản để do thám nội bộ và thu thập thông tin.
- Lateral Movement
Thông tin thu thập được sử dụng để di chuyển đến một máy chủ hoặc PC khác trong mạng. Sau đó, chúng tiếp tục cài công cụ proxy (FRP) để tạo ra một môi trường cho phép kẻ tấn công kết nối qua RDP. Chúng sử dụng công cụ đánh cắp thông tin xác thực như Mimikatz để có được tài khoản có đặc quyền cao.
- Impact
Cuối cùng, sau khi kẻ tấn công đánh cắp tất cả thông tin mà chúng mong muốn, chúng sử dụng BitLocker để mã hóa một số ổ đĩa nhất định và yêu cầu tiền chuộc.
Hầu hết chúng sử dụng các công cụ mã nguồn mở có sẵn công khai. Rất nhiều công cụ được viết bằng tiếng Trung Quốc. Có thể giả định rằng nhóm tấn công này ít nhất có một phần mối liên hệ với Trung Quốc, xét đến việc họ thường xuyên sử dụng các công cụ của Trung Quốc.
Dalbit đã sử dụng một tệp mã nhị phân LCX (Htran) được biên soạn bởi một người Trung Quốc nào đó. Tệp này có các tính năng tương tự như tệp nhị phân HTran , nhưng bao gồm biệt hiệu của người tạo nhị phân.
Hình 4. Màn hình hiển thị khi thực thi LCX được sử dụng bởi nhóm Dalbit (By 折羽鸿鹄)
Rất khó có khả năng người tạo mã nhị phân “折羽鸿鹄” (QQ:56345566) là kẻ tấn công; tuy nhiên, vì không thể tải xuống tệp nhị phân này thông qua một tìm kiếm trực tuyến đơn giản, nên rất có thể kẻ tấn công có mối liên hệ với Trung Quốc.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Execution | T1059 | Command and Scripting Interpreter |
Execution | T1047 | Windows Management Instrumentation |
Execution | T1569 | System Service |
Persistence | T1053 | Scheduled Task/Job |
Persistence | T1136 | Create Account |
Persistence | T1505 | Server Software Component |
Persistence | T1098 | Account Manipulation |
Privilege Escalation | T1134 | Access Token Manipulation |
Privilege Escalation | T1068 | Exploitation for Privilege Escalation |
Credential Access | T1003 | OS Credential Dumping |
Discovery | T1018 | Remote System Discovery |
Discovery | T1046 | Network Service Discovery |
Defense Evasion | T1562 | Impair Defenses |
Defense Evasion | T1070 | Indicator Removal |
Lateral Movement | T1021 | Remote Services |
Lateral Movement | T1570 | Lateral Tool Transfer |
Collection | T1005 | Data from Local System |
Collection | 1087.003 | Account Discovery: Email Account |
Collection | T1114 | Email Collection |
Collection | T1113 | Screen Capture |
Exfiltration | T1567 | Exfiltration Over Web Service |
Command and Control | T1090 | Proxy |
Command and Control | T1105 | Ingress Tool Transfer |
Impact | T1486 | Data Encrypted for Impact |
Resource Development | T1608.001 | Stage Capabilities: Upload Malware |
Indicators of Compromise (IoCs)
Chi tiết tại nguồn: https://asec.ahnlab.com/en/47455/
2 Malware
2.1 Phân tích một số mẫu mã độc tấn công công ty tại Việt Nam.
Gần đây, Trendmicro công bố bài phân tích cung cấp các thông tin liên quan đến nhóm tấn công có tên Earth Zhulong nhắm tới các lĩnh vực viễn thông, công nghệ và truyền thông ở khu vực Đông Nam Á. Dựa trên những dấu hiệu (signature) trong các đoạn code và custom shellcode loader, Trendmicro nghi ngờ nhóm tấn công có liên quan đến nhóm hacker Trung Quốc 1937CN.
Đối chiếu với bài phân tích của Trendmicro, chúng tôi nhận thấy các kỹ thuật, các mẫu mã độc mà nhóm Earth Zhulong sử dụng tương tự như những mẫu mã độc mà chúng tôi thu thập được trong quá trình xử lý sự cố cho đơn vị khách hàng tại Việt Nam trong năm 2022.
Quá trình khởi tạo truy cập ban đầu (Initial Access), bên cạnh việc khai thác các lỗ hổng trên ứng dụng như Weblogic, Exchange Server để chiếm quyền điều khiển, nhóm tấn công sử dụng thêm các file document độc hại. Các file document này có đính kèm marco. Khi người dùng mở các tệp tin độc hại, marco sẽ được thực thi. Marco có nhiệm vụ inject shellcode vào tiến trình rundll32.exe sau đó tạo kết nối tới C2 update[.]anninhthudo[.]com
Sau khi có một node trong mạng nội bộ và chiếm được quyền DC, nhóm tấn công sử dụng file powershell có tên co.ps1 được obfuscated nhiều lần. File powershell này có nhiệm vụ copy các file (log.dll, mpengindrv.db và calc.exe) xuống một số máy quản trị viên và người dùng. Trendmicro cũng thu thập được file powershell có hành vi tương tự, với các file được drop xuống lần lượt là gtn.dll, lengs.medil.xml và win.exe.
Đối với mẫu mã độc mà chúng tôi thu thập được, log.dll (6684F18283C28D060EE319057F782B67) thực hiện tìm đến đường dẫn của file mpengindrv.db, đọc nội dung file và giải mã bằng thuật toán RC4 với key là “A5A7F7E2B00C4A2B87FC0123F933EBD6”.
Payload mới là một DLL, DLL này sử dụng giá trị xor = 0xCE được lấy từ NumberOfSymbols, giá trị xor này được sử dụng nhằm giải mã tên các hàm API và tên các DLL cần sử dụng. Sau đó gọi tới entry point của DLL để thực thi, giải mã config với giá trị xor 0x2E thu được Cobaltstrike SMB Beacon
File powershell khác cùng tên chúng tôi thu thập được có nhiệm vụ update chính sách GPO mới liên quan đến RDP
Quá trình Post-Exploitation, bên cạnh thu thập thông tin hệ thống và dump tiến trình lsass, chúng tôi cũng thu thập được các file malware có nhiệm vụ giải mã các file config bằng thuật toán XOR, RC4, AES (với key là MD5(IP_Local)) và deploy Cobaltstrike trên các máy người dùng trong mạng.
Indicators of Compromise (IoCs)
Bên cạnh các IoCs TrendMicro đã cung cấp tại link, chúng tôi bổ sung thêm các IoCs dưới đây
File
File name | Hash | File Type |
log.dll | 6684F18283C28D060EE319057F782B67 | PE32 |
mpengindrv.db | C453B7C6902B8B47753787EDA32AE16A | encoded payload |
python23.dll | 53F030E658E7D95A2DBB5AC9B99176B6 | PE32 |
winnt.config | DD4E176F33F91E27F557A4D67F9B3331 | encoded payload |
slmg.tmp | 543D0290B3EC862B938CB4BC45AAA4EE | PE32 |
TmDbgLog.dll | 9B12F3471260840953025F2C39B47DCC | PE32 |
mtxstify.scr | EE4B2DA99308C3E7EA81C4E1F80C946E | encoded payload |
cdpsgshims.dll | 283A861CD7E1D26325DE39478B305432 | PE32 |
MapData.dat | 6F5A07D59D8B637E38DCA7A1575CD229 | encoded payload |
C2:
news.worldstockhub.com (89.38.135.204:8443)
didongbuy.com
18.138.81.223
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – February 2023
Trong tháng 2, Microsoft đã phát hành các bản vá cho 75 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Exchange Server; .NET Core và Visual Studio Code; 3D Builder và Print 3D; Microsoft Azure và Dynamics 365; Defender for IoT và Malware Protection Engine. Trong đó có 9 lỗ hổng được đánh giá mức độ Nghiêm trọng, 66 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-21823 – Windows Graphics Component Remote Code Execution Vulnerability.
CVSS: 7.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Phiên bản 1607 for x64-based Systems
Windows 10 Phiên bản 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Phiên bản 22H2 for 32-bit Systems
Windows 10 Phiên bản 22H2 for ARM64-based Systems
Windows 10 Phiên bản 22H2 for x64-based Systems
Windows 11 Phiên bản 22H2 for x64-based Systems
Windows 11 Phiên bản 22H2 for ARM64-based Systems
Windows 10 Phiên bản 21H2 for x64-based Systems
Windows 10 Phiên bản 21H2 for ARM64-based Systems
Windows 10 Phiên bản 21H2 for 32-bit Systems
Windows 11 phiên bản 21H2 for ARM64-based Systems
Windows 11 phiên bản 21H2 for x64-based Systems
Windows 10 Phiên bản 20H2 for ARM64-based Systems
Windows 10 Phiên bản 20H2 for 32-bit Systems
Windows 10 Phiên bản 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Phiên bản 1809 for ARM64-based Systems
Windows 10 Phiên bản 1809 for x64-based Systems
Windows 10 Phiên bản 1809 for 32-bit Systems
Microsoft Office for iOS
Microsoft Office for Universal
Microsoft Office for Android
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21823
3.1.2 CVE-2023-21715 – Microsoft Office Security Feature Bypass Vulnerability.
CVSS: 7.3/10
Mô tả: Thông qua việc lừa người dùng mở các tệp tin định dạng Office, lỗ hổng được khai thác thành công có thể vượt qua (bypass) các cơ chế ngăn chặn thực thi marco trong các tệp tin không đáng tin cậy hoặc độc hại. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công
Phiên bản ảnh hưởng:
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21715
3.1.3 CVE-2023-23376 – Windows Common Log File System Driver Elevation of Privilege Vulnerability.
CVSS: 7.8/10
Mô tả: Lỗ hổng leo thang đặc quyền cho phép kẻ tấn công thực thi các đoạn mã độc hại bằng quyền SYSTEM. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Phiên bản 1607 for x64-based Systems
Windows 10 Phiên bản 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Phiên bản 22H2 for 32-bit Systems
Windows 10 Phiên bản 22H2 for ARM64-based Systems
Windows 10 Phiên bản 22H2 for x64-based Systems
Windows 11 Phiên bản 22H2 for x64-based Systems
Windows 11 Phiên bản 22H2 for ARM64-based Systems
Windows 10 Phiên bản 21H2 for x64-based Systems
Windows 10 Phiên bản 21H2 for ARM64-based Systems
Windows 10 Phiên bản 21H2 for 32-bit Systems
Windows 11 phiên bản 21H2 for ARM64-based Systems
Windows 11 phiên bản 21H2 for x64-based Systems
Windows 10 Phiên bản 20H2 for ARM64-based Systems
Windows 10 Phiên bản 20H2 for 32-bit Systems
Windows 10 Phiên bản 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Phiên bản 1809 for ARM64-based Systems
Windows 10 Phiên bản 1809 for x64-based Systems
Windows 10 Phiên bản 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23376
3.1.4 CVE-2023-21716 – Microsoft Word Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: Thông qua tệp tin độc hại nhúng RTF payload, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Microsoft Word 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2013 RT Service Pack 1
Microsoft Word 2013 Service Pack 1 (32-bit editions)
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft Office Web Apps Server 2013 Service Pack 1
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office 2019 for Mac
Microsoft Office Online Server
SharePoint Server Subscription Edition Language Pack
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft SharePoint Server Subscription Edition
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC for Mac 2021
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716
3.1.5 CVE-2023-21706/CVE-2023-21707/CVE-2023-21710/CVE-2023-21529 – Microsoft Exchange Server Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã xa trên hệ thống Microsoft Exchange Server bị ảnh hưởng. Quá trình khai thác yêu cầu xác thực
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 11
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21706
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21710
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2152
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-22374 – iControl SOAP vulnerability
CVSS: 8.5/10
Mô tả: Icontrol SOAP tồn tại lỗ hổng format string, cho phép kẻ tấn công làm crash tiến trình iControl SOAP CGI hoặc thực thi đoạn mã tùy ý.
Phiên bản ảnh hưởng:
BIG-IP (tất cả các modules) phiên bản 13.1.5, 14.1.4.6 – 14.1.5, 15.1.5.1 – 15.1.8, 16.1.2.2 – 16.1.3 và 17.0.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://my.f5.com/manage/s/article/K000130415
3.2.2 CVE-2022-39952: FortiNAC Remote Code Execution
CVSS: 9.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực ghi file tùy ý trên hệ thống bị ảnh hưởng từ đó có thể thực thi mã tùy xa.
Phiên bản ảnh hưởng:
FortiNAC phiên bản 9.4.0
FortiNAC phiên bản 9.2.0 – 9.2.5
FortiNAC phiên bản 9.1.0 – 9.1.7
FortiNAC 8.8 tất cả các phiên bản
FortiNAC 8.7 tất cả các phiên bản
FortiNAC 8.6 tất cả các phiên bản
FortiNAC 8.5 tất cả các phiên bản
FortiNAC 8.3 tất cả các phiên bản
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.fortiguard.com/psirt/FG-IR-22-300