THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 02 – 2023

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      Các hoạt động tấn công gần đây của APT-C-35

Ngày 07/02/2023, Viện Nghiên Cứu Mối Đe Dọa Nâng Cao 360 cho biết đã liên tục phát hiện ra các cuộc tấn công của tổ chức APT-C-35 (Brainworm) trong quá trình săn lùng mối đe dọa hàng ngày. APT-C-35 (Brainworm), còn được gọi là Donot, là một tổ chức APT đến từ Nam Á. Chúng chủ yếu tiến hành các hoạt động gián điệp mạng chống lại các cơ quan chính phủ ở Pakistan và các quốc gia, khu vực lân cận, chủ yếu để đánh cắp thông tin nhạy cảm.

Trong đợt tấn công này, APT-C-35 vẫn sử dụng các tài liệu macro làm vật mang mã độc, giải phóng và thực thi tải trọng độc hại, tải mô-đun điều khiển từ xa. Ngoài ra, hoạt động đánh cắp và mã độc hại trong toàn bộ quá trình chứa thông tin Ký điện tử.

Hình  1: Quá trình tấn công gần đây của APT-C-35

Tổ chức APT-C-35 (Brainworm) sử dụng các tệp PPT hoặc XLS làm phương thức xâm nhập. Khi nạn nhân mở tệp độc hại, nó sẽ ngay lập tức giải phóng một tệp nén, một tệp batch và tạo 3 tác vụ lập lịch. Trong số đó, tác vụ lập lịch Tls_SSL thực thi tệp batch sau mỗi 4 phút. Chức năng chính của tệp batch là giải nén tệp nén, lấy tệp thực thi độc hại comd.exe và xóa tác vụ lập lịch Tls_SSL. Tác vụ lập lịch My_Drive thực thi comd.exe thường xuyên và comd.exe chịu trách nhiệm tiếp tục tải xuống giai đoạn tải tiếp theo (creep.exe), đồng thời tải xuống tập lệnh pbs.bat làm mục khởi động của tác vụ Pls_SSL để khởi chạy tệp creep.exe. Chức năng chính của creep.exe là tải xuống mô-đun điều khiển từ xa mnps.exe, từ đó thực hiện các hoạt động độc hại.

Tệp comd.exe và creep.exe được ký điện tử “maxforsec”, nhưng chữ ký không còn hợp lệ.

Tệp mnps.exe sử dụng chữ ký là “fukuyashi”.

Thay đổi về kỹ, chiến thuật:

  • Tải trọng độc hại chủ yếu thu được thông qua tải xuống mã macro trong quá trình tấn công trước. Trong đợt tấn công này, tải trọng độc hại chủ yếu thu được qua các tệp nén và giải nén chúng thông qua mã macro.
  • Mô-đun trung gian ở dạng tệp thực thi EXE, tệp dạng DLL không còn được sử dụng làm thành phần tấn công trung gian.
  • Ngoài sự khác biệt về số lệnh, các mẫu lần này và các mẫu trước đó cũng đã trải qua một số thay đổi trong thuật toán giải mã. Các mẫu trước đó trừ một số nhỏ từ mỗi chuỗi ký tự để giải mã. Trong cuộc tấn công này, nó không còn là một số cố định trừ đi từng bit của chuỗi. Trong một số mẫu, một số chuỗi bị trừ đi 7 và một số chuỗi bị trừ đi 10.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Execution T1204.002 User Execution: Malicious File
Execution T1059.003 Windows Command Shell
Execution T1053.005 Scheduled Task/Job: Scheduled Task
Persistence T1053.005 Scheduled Task/Job: Scheduled Task
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1036.001 Masquerading: Invalid Code Signature
Defense Evasion T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion
Defense Evasion T1140 Deobfuscate/Decode Files or Information
Command and Control T1104 Multi-Stage Channels
Impact T1071.001 Application Layer Protocol: Web Protocols

Indicators of Compromise (IoCs)

Files / hash MD5

9060531460f7152ca156aeeca090a13c

68c6c735918e55954b3d22ce72c769a6

d947bf46867d66e645071d53d6b106bb

993befa3da4e0d10ee61f0b78c18d4cd

fac06f63a30fcef45c3e7763442ed2ac

828174ee0a9f25eaad48957ced66b81d

8bee6f27245daf1c860713affb575731

3e6ba2c0128030844d4a02088774802b

06e0d216969caa0dfd98269a860b153b

676a10be289cf8978af6cdbdba536678

105fa5bc6ce7afb40b02054d669e9204

e55d17ba37bfba78dc4cdbd8cca9f36b

3cd6fc1309294e4eb4bfb2e861e2f570

309c1cd225571b18c82a1a25aff6ad02

b8cdc170848ed8716de3653a5f1e533f

1fb52729c33875ad0be381e98b143673

43298c256c4dc626a5788caa3e309d56

992acca21f1f0d818fb7d599d69d93b7

1e606b8a3c288f988152456af206ff72

d5166aa339e25f3f7f9d1d7a186650bc

d4d0fc82312c60b6084ccab7245530a9

992acca21f1f0d818fb7d599d69d93b7

dbd11c7f0074580015daa16b5900ac7b

10de5e96ca4ba920f4b7b67258033fdb

c9c77a74e732d8d4b37aab1037e6569a

C&C:

blogs.libraryutilitis[.]live

furnish.spacequery[.]live

best.tasterschoice[.]shop

blogs.tourseasons[.]xyz

URL:

http://furnish.spacequery[.]live/rikkdkeiirt0or784jjk2/kdjj48djj46dTrjd7a

http://furnish.spacequery[.]live:443/xuiudguibat/nmioepjarjkuarkju

http://furnish.spacequery[.]live:443/uiscuerhsflkjs1/liorijfiahjruuehajkhrj

http://furnish.spacequery[.]live/uiscuerhsflkjs1/liorijfiahjruuehajkhrj

http://furnish.spacequery[.]live/xuiudguibat/nmioepjarjkuarkju

http://furnish.spacequery[.]live/uiuernsicudkfjs2/tiryu3kkdiesao

http://blogs.tourseasons[.]xyz/rhjhdjrjkfakjhrhjk

http://blogs.tourseasons[.]xyz/msiioi3kkx/irahjdfjkjkjlkjfjl

http://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka

http://blogs.libraryutilitis[.]live/pjvrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka

http://blogs.libraryutilitis[.]live/pjnrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf

http://blogs.libraryutilitis[.]live/nrasjkhrsjkdrhkdfjkB/klrjajlrjklrkljaklrjklasklf

http://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjh

http://blogs.libraryutilitis[.]live/olskh1ytg1s/vkajsrkaljrkjfa

http://blogs.libraryutilitis[.]live/thfjhsgjhtab/niiorjkrkjk

http://blogs.libraryutilitis[.]live/redpanda/biorjkdkrkjrkj

http://blogs.libraryutilitis[.]live/redpanda1/bnrkajrkirklrl

https://blogs.libraryutilitis[.]live/hkjnlkhfshjkls2/nrjukurjhajrjh

https://blogs.libraryutilitis[.]live/vrhkdkjrajksrjkaskdoneS/rbjhrkjahsrjejka

http://best.tasterschoice[.]shop/ceioriakgfigalrj/

Nguồn: https://mp.weixin.qq.com/s/rslBGQgTL_jZD73AJqI05Q

1.2       NewsPenguin, một nhóm đe dọa chưa được biết đến trước đây, nhắm mục tiêu Pakistan

Ngày 09/02/2023, Nhóm nghiên cứu & tình báo của BlackBerry tiết lộ một nhóm đe dọa chưa được biết trước đây đang nhắm mục tiêu vào các tổ chức ở Pakistan bằng cách sử dụng cơ chế phân phối tải trọng phức tạp. Kẻ đe dọa lạm dụng Hội nghị & Triển lãm Hàng hải Quốc tế Pakistan (PIMEC-2023) để dẫn dụ nạn nhân của chúng.

Hình 2: Tài liệu độc hại do NewsPenguin phát tán thông qua các kỹ thuật lừa đảo

Kẻ tấn công đã gửi các email lừa đảo được nhắm mục tiêu với một tài liệu đính kèm có mục đích là hướng dẫn sử dụng triển lãm cho PIMEC-23. Tài liệu sử dụng kỹ thuật tiêm mẫu từ xa và nhúng mã macro Visual Basic for Applications (VBA) độc hại để cung cấp giai đoạn tiếp theo của cuộc tấn công, dẫn đến việc thực thi tải trọng cuối cùng.

Tải trọng cuối cùng là một công cụ gián điệp tiên tiến được mã hóa XOR bằng khóa mã hóa “penguin”. Tham số tên tiêu đề phản hồi bố trí nội dung được đặt thành “getlatestnews” trong phản hồi HTTP. Do khóa XOR duy nhất “penguin” và tham số tên “getlatestnews”, nhóm nghiên cứu quyết định gọi kẻ đe dọa này là NewsPenguin.

Kẻ tấn công sử dụng một công cụ gián điệp mới, chưa từng thấy trước đây. Công cụ này chứa nhiều tính năng có thể được sử dụng để vượt qua sandbox và máy ảo (VM). Bao gồm việc sử dụng GetTickCount để xác định sandbox bỏ qua chức năng ngủ, kiểm tra kích thước ổ cứng và yêu cầu hơn 10GB RAM. Sau khi chạy, NewsPenguin tạo một mutex có tên “Windows.20H2.85685475”.

Khi thiết lập kết nối lần đầu tiên, máy chủ sẽ đăng ký hệ thống bị nhiễm với một mã định danh duy nhất cụ thể dài 12 ký tự. Mã định danh duy nhất này sau đó được sử dụng để liên lạc giữa bot và máy chủ.

NewsPenguin sau đó kết nối với một máy chủ được mã hóa cứng – “updates[.]win32[.]live:443/search:<unique_identifier>” – sau đó nó lấy địa chỉ IP của máy chủ chỉ huy và kiểm soát (C2) để bắt đầu nhận lệnh điều khiển.

Đáng chú ý là NewsPenguin đợi 300000 mili giây (năm phút) giữa mỗi lệnh. Hơn nữa, mỗi lệnh mà bot nhận được từ máy chủ đều được mã hóa base64. Khi các nhà nghiên cứu bảo mật chạy phần mềm độc hại hoặc các mẫu trong sandbox, những mẫu đó thường có giới hạn thời gian dưới năm phút cho mỗi mẫu. Điều này có nghĩa là nếu một mẫu như vậy được chạy trong sandbox, nó sẽ không được tái tạo đầy đủ do thời gian dừng. Thay vào đó, nó sẽ chấm dứt thực thi khi hết thời gian chờ mà không tạo ra bất kỳ bằng chứng độc hại nào. Đây là một kỹ thuật để vượt qua phân tích phần mềm độc hại tự động bằng sandbox.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566 Phishing: Spearphishing Attachment
Execution T1204.002 Malicious File
Execution T1059.005 Visual Basic
Execution T1059.003 Windows Command Shell
Execution T1203 Exploitation for Client Execution
Execution T1047 Windows Management Instrumentation (WMI)
Execution T1059.001 Powershell
Execution T1559.001 Component Object Model
Privilege Escalation T1055 Process Injection
Privilege Escalation T1055.002 Portable Executable Injection
Defense Evasion T1480 Execution Guardrails
Defense Evasion T1221 Template Injection
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1140 Deobfuscate Decode Files or Information
Defense Evasion T1070.004 Indicator Removal: File Deletion
Defense Evasion T1564.001 Hidden Files and Directories
Defense Evasion T1112 Modify Registry
Defense Evasion T1036.005 Masquerading: Match Legitimate Name or Location
Command and Control T1105 Ingress Tool Transfer
Command and Control T1071.001 Web Protocols
Command and Control T1132.001 Data Encoding: Standard Encoding
Command and Control T1573.001 Encrypted Channel: Symmetric Cryptography
Exfiltration T1041 Exfiltration over C2 Channel
Exfiltration T1029 Scheduled Transfer
Discovery T1083 File and Directory Discovery
Discovery T1057 Process Discovery
Discovery T1082 System Information Discovery
Discovery T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion

Indicators of Compromise (IoCs)

Files / hash MD5

fcae6b88640b58d289df42ae2d15e3ca

28e5fceaa9878bfbe967639cf2a2fb9b

5abd9f1828e3c6d899b9c8ba79c16473

1cb100825912dd70c3a8f8e11fadc97f

C219A8C50624F9DD9FC0F3C32510EA77

BFEC9148F90D1565AE334302D79B890964DD4C89

314328E63B2E55A9C20BBDA313AB4D04

8B0BF3F5F0AC4605C8C5EF73EB121757

861B80A75ECFB083C46F6E52277B69A9

URL / IP

hXXp[:]//windowsupdates[.]shop/test[.]dotx

updates.win32[.]live

185.198.59[.]109

51.222.103[.]8

Mutex

Windows.20H2.85685475

Nguồn: https://blogs.blackberry.com/en/2023/02/newspenguin-a-previously-unknown-threat-actor-targets-pakistan-with-advanced-espionage-tool

1.3      Dalbit (m00nlight): Chiến dịch tấn công APT của nhóm hacker Trung Quốc

Ngày 13/02/2023, nhóm nghiên cứu của ASEC đã theo dõi các hoạt động tấn công của một nhóm hacker từ 16/08/2022. Nhóm này luôn dựa vào các công cụ nguồn mở và thiếu đặc điểm riêng biệt để lập hồ sơ cho chúng. Kẻ tấn công đã lạm dụng máy chủ của các công ty Hàn Quốc làm C2 (Command & Control). Sau khi một phần máy chủ của công ty Hàn Quốc mà kẻ tấn công sử dụng đã bị chặn, chúng bắt đầu sử dụng máy chủ lưu trữ có tên “*.m00nlight.top” làm máy chủ tải xuống và C2 của chúng. Do đó, nhóm ASEC đã quyết định gọi nhóm này là Dalbit (m00nlight.top) theo từ tiếng Hàn có nghĩa là ‘Moonlight’.

Hình 3. Sơ đồ tóm tắt quá trình xâm nhập của nhóm Dalbit

  • Initial Access

Kẻ tấn công nhắm mục tiêu vào các máy chủ web hoặc máy chủ SQL mà chúng có quyền truy cập bằng cách khai thác các lỗ hổng. Sau đó, chúng kiểm soát hệ thống bằng các công cụ như WebShell.

  • Command & Control

Nhiều công cụ hack khác nhau được tải xuống thông qua WebShell như công cụ leo thang đặc quyền, công cụ proxy và công cụ quét mạng.

  • Proxy & Internal Reconnaissance

Kẻ tấn công cài đặt một công cụ proxy như FRP (Fast Reverse Proxy) trước khi cố gắng kết nối với máy chủ lưu trữ của chúng (2-1) hoặc máy chủ của công ty mà chúng xâm nhập trước đó (2-2) thông qua Máy tính Từ xa (RDP).

Chúng sử dụng các công cụ quét mạng và công cụ đánh cắp tài khoản để do thám nội bộ và thu thập thông tin.

  • Lateral Movement

Thông tin thu thập được sử dụng để di chuyển đến một máy chủ hoặc PC khác trong mạng. Sau đó, chúng tiếp tục cài công cụ proxy (FRP) để tạo ra một môi trường cho phép kẻ tấn công kết nối qua RDP. Chúng sử dụng công cụ đánh cắp thông tin xác thực như Mimikatz để có được tài khoản có đặc quyền cao.

  • Impact

Cuối cùng, sau khi kẻ tấn công đánh cắp tất cả thông tin mà chúng mong muốn, chúng sử dụng BitLocker để mã hóa một số ổ đĩa nhất định và yêu cầu tiền chuộc.

Hầu hết chúng sử dụng các công cụ mã nguồn mở có sẵn công khai. Rất nhiều công cụ được viết bằng tiếng Trung Quốc. Có thể giả định rằng nhóm tấn công này ít nhất có một phần mối liên hệ với Trung Quốc, xét đến việc họ thường xuyên sử dụng các công cụ của Trung Quốc.

Dalbit đã sử dụng một tệp mã nhị phân LCX (Htran) được biên soạn bởi một người Trung Quốc nào đó. Tệp này có các tính năng tương tự như tệp nhị phân HTran , nhưng bao gồm biệt hiệu của người tạo nhị phân.

Hình 4. Màn hình hiển thị khi thực thi LCX được sử dụng bởi nhóm Dalbit (By 折羽鸿鹄)

Rất khó có khả năng người tạo mã nhị phân “折羽鸿鹄” (QQ:56345566) là kẻ tấn công; tuy nhiên, vì không thể tải xuống tệp nhị phân này thông qua một tìm kiếm trực tuyến đơn giản, nên rất có thể kẻ tấn công có mối liên hệ với Trung Quốc.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Execution T1059 Command and Scripting Interpreter
Execution T1047 Windows Management Instrumentation
Execution T1569 System Service
Persistence T1053 Scheduled Task/Job
Persistence T1136 Create Account
Persistence T1505 Server Software Component
Persistence T1098 Account Manipulation
Privilege Escalation T1134 Access Token Manipulation
Privilege Escalation T1068 Exploitation for Privilege Escalation
Credential Access T1003 OS Credential Dumping
Discovery T1018 Remote System Discovery
Discovery T1046 Network Service Discovery
Defense Evasion T1562 Impair Defenses
Defense Evasion T1070 Indicator Removal
Lateral Movement T1021 Remote Services
Lateral Movement T1570 Lateral Tool Transfer
Collection T1005 Data from Local System
Collection 1087.003 Account Discovery: Email Account
Collection T1114 Email Collection
Collection T1113 Screen Capture
Exfiltration T1567 Exfiltration Over Web Service
Command and Control T1090 Proxy
Command and Control T1105 Ingress Tool Transfer
Impact T1486 Data Encrypted for Impact
Resource Development T1608.001 Stage Capabilities: Upload Malware

Indicators of Compromise (IoCs)

Chi tiết tại nguồn:  https://asec.ahnlab.com/en/47455/

2       Malware

2.1      Phân tích một số mẫu mã độc tấn công công ty tại Việt Nam.

Gần đây, Trendmicro công bố bài phân tích cung cấp các thông tin liên quan đến nhóm tấn công có tên Earth Zhulong nhắm tới các lĩnh vực viễn thông, công nghệ và truyền thông ở khu vực Đông Nam Á. Dựa trên những dấu hiệu (signature) trong các đoạn code và custom shellcode loader, Trendmicro nghi ngờ nhóm tấn công có liên quan đến nhóm hacker Trung Quốc 1937CN.

Đối chiếu với bài phân tích của Trendmicro, chúng tôi nhận thấy các kỹ thuật, các mẫu mã độc mà nhóm Earth Zhulong sử dụng tương tự như những mẫu mã độc mà chúng tôi thu thập được trong quá trình xử lý sự cố cho đơn vị khách hàng tại Việt Nam trong năm 2022.

Quá trình khởi tạo truy cập ban đầu (Initial Access), bên cạnh việc khai thác các lỗ hổng trên ứng dụng như Weblogic, Exchange Server để chiếm quyền điều khiển, nhóm tấn công sử dụng thêm các file document độc hại. Các file document này có đính kèm marco. Khi người dùng mở các tệp tin độc hại, marco sẽ được thực thi. Marco có nhiệm vụ inject shellcode vào tiến trình rundll32.exe sau đó tạo kết nối tới C2 update[.]anninhthudo[.]com

Sau khi có một node trong mạng nội bộ và chiếm được quyền DC, nhóm tấn công sử dụng file powershell có tên co.ps1 được obfuscated nhiều lần. File powershell này có nhiệm vụ copy các file (log.dll, mpengindrv.db và calc.exe) xuống một số máy quản trị viên và người dùng. Trendmicro cũng thu thập được file powershell có hành vi tương tự, với các file được drop xuống lần lượt là gtn.dll, lengs.medil.xml và win.exe.

Đối với mẫu mã độc mà chúng tôi thu thập được, log.dll (6684F18283C28D060EE319057F782B67) thực hiện tìm đến đường dẫn của file mpengindrv.db, đọc nội dung file và giải mã bằng thuật toán RC4 với key là “A5A7F7E2B00C4A2B87FC0123F933EBD6”.

Payload mới là một DLL, DLL này sử dụng giá trị xor = 0xCE được lấy từ NumberOfSymbols, giá trị xor này được sử dụng nhằm giải mã tên các hàm API và tên các DLL cần sử dụng. Sau đó gọi tới entry point của DLL để thực thi, giải mã config với giá trị xor 0x2E thu được Cobaltstrike SMB Beacon

File powershell khác cùng tên chúng tôi thu thập được có nhiệm vụ update chính sách GPO mới liên quan đến RDP

Quá trình Post-Exploitation, bên cạnh thu thập thông tin hệ thống và dump tiến trình lsass, chúng tôi cũng thu thập được các file malware có nhiệm vụ giải mã các file config bằng thuật toán XOR, RC4, AES (với key là MD5(IP_Local)) và deploy Cobaltstrike trên các máy người dùng trong mạng.

Indicators of Compromise (IoCs)

Bên cạnh các IoCs TrendMicro đã cung cấp tại link, chúng tôi bổ sung thêm các IoCs dưới đây

File

File name Hash File Type
log.dll 6684F18283C28D060EE319057F782B67 PE32
mpengindrv.db C453B7C6902B8B47753787EDA32AE16A encoded payload
python23.dll 53F030E658E7D95A2DBB5AC9B99176B6 PE32
winnt.config DD4E176F33F91E27F557A4D67F9B3331 encoded payload
slmg.tmp 543D0290B3EC862B938CB4BC45AAA4EE PE32
TmDbgLog.dll 9B12F3471260840953025F2C39B47DCC PE32
mtxstify.scr EE4B2DA99308C3E7EA81C4E1F80C946E encoded payload
cdpsgshims.dll 283A861CD7E1D26325DE39478B305432 PE32
MapData.dat 6F5A07D59D8B637E38DCA7A1575CD229 encoded payload

C2:

news.worldstockhub.com (89.38.135.204:8443)

didongbuy.com

18.138.81.223

3       CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – February 2023

Trong tháng 2, Microsoft đã phát hành các bản vá cho 75 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Exchange Server; .NET Core và Visual Studio Code; 3D Builder và Print 3D; Microsoft Azure và Dynamics 365; Defender for IoT và Malware Protection Engine. Trong đó có 9 lỗ hổng được đánh giá mức độ Nghiêm trọng, 66 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:

3.1.1      CVE-2023-21823 – Windows Graphics Component Remote Code Execution Vulnerability.

CVSS: 7.8/10

Mô tả:  Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Phiên bản 1607 for x64-based Systems

Windows 10 Phiên bản 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Phiên bản 22H2 for 32-bit Systems

Windows 10 Phiên bản 22H2 for ARM64-based Systems

Windows 10 Phiên bản 22H2 for x64-based Systems

Windows 11 Phiên bản 22H2 for x64-based Systems

Windows 11 Phiên bản 22H2 for ARM64-based Systems

Windows 10 Phiên bản 21H2 for x64-based Systems

Windows 10 Phiên bản 21H2 for ARM64-based Systems

Windows 10 Phiên bản 21H2 for 32-bit Systems

Windows 11 phiên bản 21H2 for ARM64-based Systems

Windows 11 phiên bản 21H2 for x64-based Systems

Windows 10 Phiên bản 20H2 for ARM64-based Systems

Windows 10 Phiên bản 20H2 for 32-bit Systems

Windows 10 Phiên bản 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Phiên bản 1809 for ARM64-based Systems

Windows 10 Phiên bản 1809 for x64-based Systems

Windows 10 Phiên bản 1809 for 32-bit Systems

Microsoft Office for iOS

Microsoft Office for Universal

Microsoft Office for Android

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21823

3.1.2     CVE-2023-21715 – Microsoft Office Security Feature Bypass Vulnerability.

CVSS: 7.3/10

Mô tả: Thông qua việc lừa người dùng mở các tệp tin định dạng Office, lỗ hổng được khai thác thành công có thể vượt qua (bypass) các cơ chế ngăn chặn thực thi marco trong các tệp tin không đáng tin cậy hoặc độc hại. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công

Phiên bản ảnh hưởng:

          Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft 365 Apps for Enterprise for 64-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21715

3.1.3     CVE-2023-23376 – Windows Common Log File System Driver Elevation of Privilege Vulnerability.

CVSS: 7.8/10

Mô tả: Lỗ hổng leo thang đặc quyền cho phép kẻ tấn công thực thi các đoạn mã độc hại bằng quyền SYSTEM. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Phiên bản 1607 for x64-based Systems

Windows 10 Phiên bản 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Phiên bản 22H2 for 32-bit Systems

Windows 10 Phiên bản 22H2 for ARM64-based Systems

Windows 10 Phiên bản 22H2 for x64-based Systems

Windows 11 Phiên bản 22H2 for x64-based Systems

Windows 11 Phiên bản 22H2 for ARM64-based Systems

Windows 10 Phiên bản 21H2 for x64-based Systems

Windows 10 Phiên bản 21H2 for ARM64-based Systems

Windows 10 Phiên bản 21H2 for 32-bit Systems

Windows 11 phiên bản 21H2 for ARM64-based Systems

Windows 11 phiên bản 21H2 for x64-based Systems

Windows 10 Phiên bản 20H2 for ARM64-based Systems

Windows 10 Phiên bản 20H2 for 32-bit Systems

Windows 10 Phiên bản 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Phiên bản 1809 for ARM64-based Systems

Windows 10 Phiên bản 1809 for x64-based Systems

Windows 10 Phiên bản 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23376

3.1.4     CVE-2023-21716 – Microsoft Word Remote Code Execution Vulnerability.

CVSS: 9.8/10

Mô tả: Thông qua tệp tin độc hại nhúng RTF payload, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng. 

Phiên bản ảnh hưởng:

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office 2019 for Mac

Microsoft Office Online Server

SharePoint Server Subscription Edition Language Pack

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC for Mac 2021

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

3.1.5     CVE-2023-21706/CVE-2023-21707/CVE-2023-21710/CVE-2023-21529 – Microsoft Exchange Server Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã xa trên hệ thống Microsoft Exchange Server bị ảnh hưởng. Quá trình khai thác yêu cầu xác thực  

Phiên bản ảnh hưởng:

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21706

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21710

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-2152

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1      CVE-2023-22374 – iControl SOAP vulnerability

CVSS: 8.5/10

Mô tả: Icontrol SOAP tồn tại lỗ hổng format string, cho phép kẻ tấn công làm crash tiến trình iControl SOAP CGI hoặc thực thi đoạn mã tùy ý.

Phiên bản ảnh hưởng:

BIG-IP (tất cả các modules) phiên bản 13.1.5, 14.1.4.6 – 14.1.5, 15.1.5.1 – 15.1.8, 16.1.2.2 – 16.1.3 và 17.0.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://my.f5.com/manage/s/article/K000130415

3.2.2     CVE-2022-39952: FortiNAC Remote Code Execution

CVSS: 9.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực ghi file tùy ý trên hệ thống bị ảnh hưởng từ đó có thể thực thi mã tùy xa.

Phiên bản ảnh hưởng:

FortiNAC phiên bản 9.4.0

FortiNAC phiên bản 9.2.0 – 9.2.5

FortiNAC phiên bản 9.1.0  – 9.1.7

FortiNAC 8.8 tất cả các phiên bản

FortiNAC 8.7 tất cả các phiên bản

FortiNAC 8.6 tất cả các phiên bản

FortiNAC 8.5 tất cả các phiên bản

FortiNAC 8.3 tất cả các phiên bản

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.fortiguard.com/psirt/FG-IR-22-300