THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 05 – 2023

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      Nhóm tấn công Earth Longzhi trở lại với các kĩ thuật mới

Đội nghiên cứu của TrendMicro đã phát hiện 1 chiến dịch tấn công mới được thực hiện bởi nhóm Earth Longzhi (1 nhóm nhỏ của APT41) nhắm đến các tổ chức tại Đài Loan, Thái Lan, Phi-líp-pin và Fiji.

Chiến dịch tấn công này lợi dụng 1 file thực thi của Windows Defender để thực hiện kĩ thuật DLL sideloading, đồng thời khai thác 1 driver chứa lỗ hổng, zamguard64.sys, để vô hiệu hóa các giải pháp bảo mật được cài đặt trên các máy chủ. Các chuyên gia nghiên cứu cũng phát hiện ra 1 kĩ thuật denial-of-service (DoS) mới mà nhóm này sử dụng để vô hiệu hóa các giải pháp bảo mật, được đặt tên “stack rumbling” thông qua Image File Execution Options (IFEO). Ngoài ra, nhóm tấn công còn thực hiện cài đặt các drivers dưới dạng các services ở mức kernel-level bằng cách sử dụng Microsoft Remote Procedure Call (RPC) thay vì sử dụng Windows API như thông thường.

Attack Vectors

Phân tích cho thấy Earth Longzhi thường có xu hướng bắt đầu các cuộc tấn công bằng cách khai thác các ứng dụng public, các máy chủ IIS và các máy chủ Microsoft Exchange để cài đặt Behinder webshell, thay vì gửi các tài liệu chứa mã độc qua email. Behinder webshell hỗ trợ nhiều chức năng backdoor bao gồm thao tác với file, thực thi câu lệnh từ xa (RCE), interactive shell và Socks5 proxy.

DLL sideloading

Mã độc được khởi chạy thông qua các file binary hợp pháp của Windows Defender, MpDlpCmd.exeMpCmdRun.exe, thay vì thông qua mở các file tài liệu. File mã độc giả mạo thành 1 file dll hợp pháp, MpClient.dll, và được load bởi các file thực thi của Microsoft Defender. Quá trình điều tra cho thấy có 2 biến thể mã độc được triển khai thông qua kĩ thuật này: 1 mẫu là biến thể mới của Croxloader, và mẫu còn lại là 1 công cụ để vô hiệu hóa các giải pháp bảo mật, được đặt tên “SPHijacker”.

Biến thể mới của Croxloader

Các file binary của Windows Defender được Earth Longzhi khởi chạy như 1 system service, sau đó thực hiện load mẫu biến thể mới của Croxloader dưới dạng giả mạo file MpClient.dll. Mẫu này tiến hành đọc payload có tên MpClient.bin và giải mã nội dung payload. Mẫu Croxloader mới này gần như tương tự các mẫu cũ, ngoài trừ việc sử dụng 1 thuật toán giải mã khác. Thuật toán được sử dụng trong mẫu gốc là (SUB 0xA) XOR 0xCC, trong khi thuật toán dùng trong mẫu mới là (ADD 0x70) XOR 0xDD. Sau khi được giải mã, mã độc cuối cùng được xác định là 1 Cobalt Strike beacon.

Execution chain

Thay đổi thuật toán XOR

SPHijacker

SPHijacker, công cụ nhằm mục đích vô hiệu hóa các giải pháp bảo mật, triển khai 2 phương thực nhằm đạt được mục đích này. 1 phương thức thực hiện tắt các tiến trình chạy các giải pháp bảo mật thông qua sử dụng 1 driver có chứa lỗ hổng, zamguard64.sys (CVE-2018-5713). 1 phương thức khác sử dụng 1 kĩ thuật mới lần đầu được thấy trong các cuộc tấn công, được đặt tên “stack rumbling”. Stack rumbling thực hiện tấn công DoS lợi dụng các giá trị  MinimumStackCommitInBytes chưa được khởi tạo trong registry key của IFEO, bằng cách đặt giá trị của MinimumStackCommitInBytes đủ lớn, một khi tiến trình mục tiêu khởi chạy sẽ dẫn đến crash do bị stack overflow.

Threat Hunting

Quá trình threat hunting của TrendMicro cũng phát hiện ra mẫu dropper Roxwrapper, trong đó có chứa Bigpipeloader đã từng được sử dụng trong chiến dịch tấn công trước đó của Earth Longzhi. Ngoài ra, đội nghiên cứu cũng phát hiện thêm dwm.exe, 1 công cụ leo thang đặc quyền mới lợi dụng Task Scheduler, và các file tài liệu mồi được viết bằng tiếng Việt và Indonesia, có thể được dùng cho các cuộc tấn công kế tiếp của nhóm.

File tài liệu mồi tiếng Việt

MITRE

Tactics Techniques
Credential Access T1003.001 – OS Credential Dumping: LSASS Memory
Execution T1569.002 – System Services: Service Execution
Defense Evasion T1574.002 – Hijack Execution Flow: DLL Side-Loading

T1140 – Deobfuscate/Decode Files or Information

T1070.004 – Indicator Removal: File Deletion

T1036.005 – Match Legitimate Name or Location

Persistence T1053.005 – Scheduled Task
Privelege Escalation T1548.002 – Bypass User Account Control

T1068 – Exploitation for Privilege Escalation

T1546.012 – Event Triggered Execution: Image File Execution Options Injection

 

Indicators of Compromise (IoCs)

SHA256

7910478d53ab5721208647709ef81f503ce123375914cd504b9524577057f0ec

ebf461be88903ffc19363434944ad31e36ef900b644efa31cde84ff99f3d6aed

21ffa168a60f0edcbc5190d46a096f0d9708512848b88a50449b7a8eb19a91ed

942b93529c45f27cdbd9bbcc884a362438624b8ca6b721d51036ddaebc750d8e

75a51d1f1dd26501e02907117f0f4dd91469c7dd30d73a715f52785ea3ae93c8

4399c5d9745fa2f83bd1223237bdabbfc84c9c77bacc500beb25f8ba9df30379

8327cd200cf963ada4d2cde942a82bbed158c008e689857853262fcda91d14a4

9eceba551baafe79b45d412c5347a3d2a07de00cc23923b7dee1616dee087905

630bb985d2df8e539e35f2da696096e431b3274428f80bb6601bbf4b1d45f71e

ef8e658cd71c3af7c77ab21d2347c7d41764a68141551938b885da41971dd733

e654ecc10ce3df9f33d1e7c86c704cfdc9cf6c6f49aa11af2826cbc4b659e97c

16887b36f87a08a12fe3b72d0bf6594c3ad5e6914d26bff5e32c9b44acfec040

39de0389d3186234e544b449e20e48bd9043995ebf54f8c6b33ef3a4791b6537

Domain/IP

194.31.53[.]128         C&C

198.13.47[.]158         C&C

207.148.115[.]125     C&C

64.227.164[.]34       C&C

evnpowerspeedtest[.]com     C&C

www.updateforhours[.]com C&C

dns.eudnslog[.]com       C&C

asis.downloadwindowsupdate[.]co          C&C

194.31.53[.]128         Download site

198.13.47[.]158         Download site

1.2     Nhóm tấn công Lancefly sử dụng mẫu backdoor tùy chỉnh tấn công các tổ chức Nam và Đông Nam Á

Đội ngũ Symantec đã điều tra và phát hiện ra 1 chiến dịch tấn công của nhóm Lancefly, sử dụng mẫu backdoor Merdoor, nhắm đến các tổ chức chính phủ, hàng không, giáo dục và viễn thông tại Nam và Đông Nam Á. Chiến dịch được cho là bắt đầu từ giữa năm 2022 và kéo dài đến quý I năm 2023.

Merdoor backdoor

Merdoor là mẫu backdoor đã xuất hiện từ năm 2018, cung cấp đầy đủ các tính năng backdoor bao gồm:

  • Tự cài đặt như 1 dịch vụ
  • Keylogging
  • Giao tiếp với máy chủ C&C thông qua nhiều giao thức khác nhau (HTTP, HTTPS, DNS, UDP, TCP)
  • Khả năng lắng nghe trên 1 local port để thực hiện các câu lệnh

Các mẫu Merdoor thường giống nhau về mặt chức năng và khác nhau ở cấu hình nhúng và mã hóa, bao gồm:

  • Phương thức giao tiếp C&C
  • Thông tin chi tiết về dịch vụ
  • Đường dẫn cài đặt

Mẫu backdoor này thường được inject vào trong tiến trình hợp lệ perfhost.exe hoặc svchost.exe. File dropper là 1 file RAR (SFX) tự giải nén gồm 3 file:

  • 1 file binary hợp lệ có chứa lỗ hổng liên quan đến DLL search-order hijacking
  • Merdoor loader
  • file mã hóa (.pak) có chứa payload cuối cùng là Merdoor backdoor

Attack Chain

Không có đủ các bằng chứng rõ ràng để xác định phương thức tấn công ban đầu của nhóm, tuy nhiên các nhà nghiên cứu cho rằng nhóm có thể đã sử dụng các hành vi tấn công như phishing, SSH brute-forcing, hoặc khai thác các máy chủ có kết nối Internet.

ZXShell Rootkit

Các nhà phân tích cũng phát hiện các hành vi triển khai ZXShell rootkit với 1 phiên bản đã được cập nhật của Lancefly. Phiên bản này có kích thước nhỏ hơn, có bổ sung 1 số chức năng khác và nhắm đến việc vô hiệu hóa nhiều phần mềm antivirus hơn.

ZXShell rootkit được kí bởi chứng chỉ “Wemade Entertainment Co. Ltd“, trước đây đã từng được sử dụng bởi nhóm APT41. ZXShell rootkit loader có 1 thành phần tên “formdll.dll” dùng để đọc file “Form.hlp” và thực thi nội dung file đó dưới dạng shellcode. Hành vi này đã từng được nhắc đến trong 1 báo cáo chi tiết về hoạt động của nhóm APT27 (Iron Tiger)

Ngoài ra, 2 mã độc khác cũng được sử dụng bởi Lancefly là PlugX và ShadowPad, 2 mẫu này được sử dụng và chia sẻ khá phổ biến giữa các nhóm APT Trung Quốc.

Indicators of Compromise (IoCs)

Merdoor Backdoor

SHA256             Filename           Description

13df2d19f6d2719beeff3b882df1d3c9131a292cf097b27a0ffca5f45e139581 – a.exe – Merdoor Dropper

8f64c25ba85f8b77cfba3701bebde119f610afef6d9a5965a3ed51a4a4b9dead – chrome_frame_helper.exe – Merdoor Dropper

8e98eed2ec14621feda75e07379650c05ce509113ea8d949b7367ce00fc7cd38 – siteadv.exe – Merdoor Dropper

89e503c2db245a3db713661d491807aab3d7621c6aff00766bc6add892411ddc – siteadv.exe – Merdoor Dropper

c840e3cae2d280ff0b36eec2bf86ad35051906e484904136f0e478aa423d7744 –siteadv.exe – Merdoor Dropper

5f16633dbf4e6ccf0b1d844b8ddfd56258dd6a2d1e4fb4641e2aa508d12a5075 –chrome_frame_helper.dll – Merdoor Loader

ff4c2a91a97859de316b434c8d0cd5a31acb82be8c62b2df6e78c47f85e57740 –chrome_frame_helper.dll – Merdoor Loader

14edb3de511a6dc896181d3a1bc87d1b5c443e6aea9eeae70dbca042a426fcf3 –chrome_frame_helper.dll – Merdoor Loader

db5deded638829654fc1595327400ed2379c4a43e171870cfc0b5f015fad3a03 –chrome_frame_helper.dll – Merdoor Loader

e244d1ef975fcebb529f0590acf4e7a0a91e7958722a9f2f5c5c05a23dda1d2c –chrome_frame_helper.dll – Merdoor Loader

f76e001a7ccf30af0706c9639ad3522fd8344ffbdf324307d8e82c5d52d350f2 –chrome_frame_helper.dll – Merdoor Loader

dc182a0f39c5bb1c3a7ae259f06f338bb3d51a03e5b42903854cdc51d06fced6 – smadhook64c.dll – Merdoor Loader

fa5f32457d0ac4ec0a7e69464b57144c257a55e6367ff9410cf7d77ac5b20949 – SiteAdv.dll, chrome_frame_helper.dll – Merdoor Loader

fe7a6954e18feddeeb6fcdaaa8ac9248c8185703c2505d7f249b03d8d8897104 – siteadv.dll – Merdoor Loader

341d8274cc1c53191458c8bbc746f428856295f86a61ab96c56cd97ee8736200 – siteadv.dll – Merdoor Loader

f3478ccd0e417f0dc3ba1d7d448be8725193a1e69f884a36a8c97006bf0aa0f4 – siteadv.dll – Merdoor Loader

750b541a5f43b0332ac32ec04329156157bf920f6a992113a140baab15fa4bd3 – mojo_core.dll – Merdoor Loader

9f00cee1360a2035133e5b4568e890642eb556edd7c2e2f5600cf6e0bdcd5774 – libmupdf.dll – Merdoor Loader

a9051dc5e6c06a8904bd8c82cdd6e6bd300994544af2eed72fe82df5f3336fc0 – chrome_frame_helper.dll – Merdoor Loader

d62596889938442c34f9132c9587d1f35329925e011465c48c94aa4657c056c7 – smadhook64c.dll – Merdoor Loader

f0003e08c34f4f419c3304a2f87f10c514c2ade2c90a830b12fdf31d81b0af57 – SiteAdv.pak – Merdoor encoded payload

139c39e0dc8f8f4eb9b25b20669b4f30ffcbe2197e3a9f69d0043107d06a2cb4 – SiteAdv.pak – Merdoor encoded payload

11bb47cb7e51f5b7c42ce26cbff25c2728fa1163420f308a8b2045103978caf5 – SiteAdv.pak – Merdoor encoded payload

 

0abc1d12ef612490e37eedb1dd1833450b383349f13ddd3380b45f7aaabc8a75 – SiteAdv.pak – Merdoor encoded payload

eb3b4e82ddfdb118d700a853587c9589c93879f62f576e104a62bdaa5a338d7b –SiteAdv.exe – Legit McAfee executable

1ab4f52ff4e4f3aa992a77d0d36d52e796999d6fc1a109b9ae092a5d7492b7dd – chrome_frame_helper.exe – Legit Google executable

fae713e25b667f1c42ebbea239f7b1e13ba5dc99b225251a82e65608b3710be7 – SmadavProtect64.exe – Legit SmadAV executable

ZXShell Rootkit

SHA256 Filename Description
1f09d177c99d429ae440393ac9835183d6fd1f1af596089cc01b68021e2e29a7 formdll.dll Kernel driver loader
180970fce4a226de05df6d22339dd4ae03dfd5e451dcf2d464b663e86c824b8e form.exe Kernel driver loadpoint
a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221 update.exe Kernel driver installation and update utility
592e237925243cf65d30a0c95c91733db593da64c96281b70917a038da9156ae update.exe Kernel driver installation and update utility
929b771eabef5aa9e3fba8b6249a8796146a3a4febfd4e992d99327e533f9798 formdll.dll Kernel driver loader
009d8d1594e9c8bc40a95590287f373776a62dad213963662da8c859a10ef3b4 tdiproip.sys Kernel driver x64
ef08f376128b7afcd7912f67e2a90513626e2081fe9f93146983eb913c50c3a8 tdiproip.sys Kernel driver x32
ee486e93f091a7ef98ee7e19562838565f3358caeff8f7d99c29a7e8c0286b28 iehlpsrv.dll Kernel driver x64 old
32d837a4a32618cc9fc1386f0f74ecf526b16b6d9ab6c5f90fb5158012fe2f8c USBHPMS.sys Kernel driver x32 old
d5df686bb202279ab56295252650b2c7c24f350d1a87a8a699f6034a8c0dd849   ZXShell

1.3     Các cuộc tấn công mới của Mustang Panda sử dụng khai thác TP-Link routers

Check Point Research gần đây đã theo dõi một loạt các cuộc tấn công nhắm mục tiêu đến các cơ quan đối ngoại châu Âu, được cho rằng thực hiện bởi nhóm APT Trung Quốc Mustang Panda.

Báo cáo phân tích cho thấy việc sử dụng 1 mẫu mã độc đã được tùy chỉnh và nhằm khai thác các thiết bị TP-Link router. 2 file firmware image của TP-Link router đã được thay đổi, chèn thêm các thành phần độc hại trong có có 1 mẫu lây nhiễm được đặt tên “Horse Shell”. Các thành phần lây nhiễm này đã được thiết kế và điều chỉnh để có thể chèn thêm vào nhiều firmware khác nhau của nhiều hãng khác nhau.

Quá trình phân tích chi tiết đã giúp phát hiện danh sách các file được chèn thêm vào và các file đã bị chỉnh sửa so với firmware gốc bao gồm:

  • Các file được thêm:
    • /usr/bin/sheel
    • /usr/bin/shell
    • /usr/bin/timer
    • /usr/bin/udhcp
  • Các file bị chỉnh sửa:
    • /etc/rc.d/rcS
    • /web/userRpm/SoftwareUpgradeRpm.htm

Các nhà phân tích vẫn chưa chắc chắn về phương thức lây nhiễm ban đầu được nhóm thực hiện, có thể thông qua quá trình rà quét và khai thác các lỗ hổng đã biết hoặc tiến hành tấn công password guessing với các thiết bị sử dụng mật khẩu yếu hoặc mặc định.

1 điểm đáng chú ý là các cuộc tấn công này không nhắm đến các hệ thống mạng quan trọng mà nhắm đến các hệ thống mạng thuộc khu vực dân cư và gia đình. Mục tiêu của nhóm tấn công có thể nhằm xây dựng 1 chuỗi các node bị lây nhiễm và che giấu đi máy chủ C&C thực sự.

Mẫu mã độc Horse Shell được viết bằng C++, là 1 file binary dùng cho hệ điều hành MIPS32 MSB. 3 chức năng chính của mẫu mã độc bao gồm:

  • Remote shell – thực thi các câu lệnh shell bất kì trên thiết bị router bị lây nhiễm
  • File transfer – Upload hoặc download file trên thiết bị router bị lây nhiễm
  • SOCKS tunneling – chuyển tiếp kết nối giữa các node khác nhau

Indicators of Compromise (IoCs)

SHA256 File Name
998788472cb1502c03675a15a9f09b12f3877a5aeb687f891458a414b8e0d66c udhcp
7985f992dcc6fcce76ee2892700c8538af075bd991625156bf2482dbfebd5a5a sheel
ed3d667a4fa92d78a0a54f696f4e8ff254def8d6f3208e6fe426dbe7fb3f3dd0 shell
66cc81a7d865941cb32ed7b1b84b20270d7d667b523cab28b856cd4e85f135b6 timer
8a2e9f6c2b0c898090fdce021b3813313e73a256a5de39c100bf9868abc09dbb 9406.dat
da046a1fe6f3b94e48c24ffd341f8d97bfc06252ddf4d332e8e2478262ad1964 9404.dat

 

IP/Domain

m.cremessage[.]com – C&C

91.245.253[.]72

2     Malware

2.1     APT41 – Powershell Backdoor

APT41 là nhóm gián điệp mạng của Trung Quốc, được biết đến với các chiến thuật, kỹ thuật và quy trình (TTP) tiên tiến nhắm tới nhiều mục tiêu bao gồm chính phủ, doanh nghiệp hoặc các cá nhân, với việc sử dụng các công cụ và mã độc được thiết kế tùy chỉnh (custom). Một trong những công cụ đó là Backdoor được viết bằng ngôn ngữ script Powershell. Sau khi cài đặt thành công, backdoor cho phép thực thi câu lệnh, download hoặc upload file, hoặc thu thập các thông tin trên máy chủ/máy trạm bị chiếm quyền điều khiển. Gần đây, ThreatMon đã cung cấp bài phân tích mẫu mã độc mà nhóm nghiên cứu nghi ngờ liên quan đến nhóm tấn công AT41

Trước khi thực thi, mã độc sẽ tạo mutex có tên “v653Bmua-53JCY7Vq-tgSAaiwC-SSq3D4b6”

Nhằm mục đích duy trì (persistence), backdoor lưu payload trong Registry tại đường dẫn “HKCU\Environment\UserInitMprLogonScript”, các câu lệnh độc hại sẽ được thực thi tự động mỗi khi người dùng đăng nhập vào hệ thống

Forfiles là công cụ built-in hợp pháp có sẵn trên môi trường Windows, kẻ tấn công thường lợi dụng để thực thi câu lệnh, download file, hoặc thực hiện các hành vi độc hại, trong trường hợp này, kẻ tấn công sử dụng forfile để thi các câu lệnh

Bên cạnh các câu lệnh, backdoor cũng lưu thông tin đăng nhập để giao tiếp với Telegram trong registry,  payload Powershell được obfuscated cũng được lưu trong registry tại đường dẫn HKEY_CLASSES_ROOT\abcdfile\shell\open\command\abcd

Script powershell sẽ được thực thi thông qua file hợp pháp của hệ thống windows SyncAppPublishingServer.vbs

Powershell script sau khi decrypt thực hiện giao tiếp với C2, attacker sử dụng Telegram làm C2 server

Backdoor gửi thông tin hệ thống và địa chỉ IP của máy bị chiếm quyền điều khiển tới C2 server, và đợi lệnh từ C2 server

Indicators of Compromise (IoCs)

TYPE IOC
SHA-256 HASH bb3d35cba3434f053280fc2887a7e6be703505385e184da4960e8 db533cf4428
SHA-256 HASH d71f6fbc9dea34687080a2e12bf326966f6841d51294bd665261e0 7281459eeb
URL https://raw.githubusercontent[.]com/efimovah/abcd/main/xxx.gif
URL hXXp://ip-api[.]com/json

 

2.2   “Malverposting” – Chiến dịch sử dụng mã độc nhằm ăn cắp thông tin trên các nền tảng mạng xã hội

Việc sử dụng các bài đăng và tweet được quảng cáo trên mạng xã hội để phát tán phần mềm độc hại đang gia tăng.

Chiến dịch đã diễn ra trong nhiều tháng, ước tính lượt lây nhiễm lên tới hơn 500 nghìn trên toàn thế giới. Nguyên nhân ban đầu dẫn đến những con số đó là việc lạm dụng dịch vụ Quảng cáo của Facebook. Các chiến dịch này hiện đang được xác định có nguồn gốc từ Việt Nam

Threat actor tạo các tài khoản (business profiles) hoặc ăn cắp các tài khoản uy tín có nhiều lượt theo dõi, đăng các quảng cáo có nội dung nhạy cảm lừa người dùng tải xuống các file đính kèm các payload độc hại

Khi người dùng click vào những bài quảng cáo hoặc links, file ZIP độc hại sẽ được tải xuống. Bên trong các file ZIP là các file thực thi (giả mạo các file ảnh). Mã độc sẽ được thực thi khi người dùng click vào các tệp tin giả mạo này, đồng thời để lừa người dùng, mã độc sẽ mở trình duyệt có các nội dung liên quan. Các mã độc sẽ thực hiện ăn cắp các thông tin của nạn nhân như cookie, thông tin tài khoản, ví điện tử cùng các hành vi độc hại khác

Trong các chiến dịch gần đây, threat actor sử dụng dll có tên WDSync.dll (jnjected thêm các đoạn code độc hại)

DLL có nhiệm vụ triển khai thêm mã độc Stealer, tự động tải xuống các payload mới từ máy chủ C2 thông qua công cụ curl

Indicators of Compromise (IoCs)

Affected Facebook Pages/Profiles:

Hijacked Accounts (last 14 days):

https://www[.]facebook[.]com/altrkstore

https://www[.]facebook[.]com/arambindia/

https://www[.]facebook[.]com/DrTechnoPeru

https://www[.]facebook[.]com/JanimagePhotography

https://www[.]facebook[.]com/MON.PAT.SHIATSU/

https://www[.]facebook[.]com/Movaks-417677965449830/

https://www[.]facebook[.]com/sict321

https://www[.]facebook[.]com/amplopcantikqeetaa

https://www[.]facebook[.]com/hallakinsulation

https://www[.]facebook[.]com/rtsleksikon/

Fake Profiles Created (last 14 days):

https://www[.]facebook[.]com/Jelly-Studio-120458764282549/

https://www[.]facebook[.]com/Shooop-Store-109582122115528/

https://www[.]facebook[.]com/Xpicture-Lady-18-109848348747430

https://www[.]facebook[.]com/Pictures-Album-104410945964034/

https://www[.]facebook[.]com/Pictures-Lab-106791609059352/

https://www[.]facebook[.]com/Pictures-Land-103158319425698/

https://www[.]facebook[.]com/profile.php?id=100089878329069

https://www[.]facebook[.]com/profile.php?id=100090678589841

https://www[.]facebook[.]com/profile.php?id=100091214258073

https://www[.]facebook[.]com/profile.php?id=100091364883811

https://www[.]facebook[.]com/profile.php?id=100091537913341

https://www[.]facebook[.]com/profile.php?id=100091549101555

https://www[.]facebook[.]com/profile.php?id=100091563985326

https://www[.]facebook[.]com/profile.php?id=100091569796450

https://www[.]facebook[.]com/profile.php?id=100091611648780

https://www[.]facebook[.]com/profile.php?id=100091652232000

https://www[.]facebook[.]com/profile.php?id=100091706393095

https://www[.]facebook[.]com/profile.php?id=100091721351037

https://www[.]facebook[.]com/profile.php?id=100091725404023

https://www[.]facebook[.]com/profile.php?id=100091731676745

https://www[.]facebook[.]com/profile.php?id=100091746189370

https://www[.]facebook[.]com/profile.php?id=100091751239191

https://www[.]facebook[.]com/profile.php?id=100091805619917

https://www[.]facebook[.]com/profile.php?id=100091814560890

https://www[.]facebook[.]com/profile.php?id=100091848215737

https://www[.]facebook[.]com/profile.php?id=100091859890204

https://www[.]facebook[.]com/profile.php?id=100091904521011

https://www[.]facebook[.]com/profile.php?id=100091905933028

https://www[.]facebook[.]com/profile.php?id=100091927594815

https://www[.]facebook[.]com/profile.php?id=100091949672195

https://www[.]facebook[.]com/profile.php?id=100091986969520

Domains:

Landing Page Domains (as used in Facebook Ads):

apps-blue[.]com

canva2023[.]com

chatgpt-premium[.]com

download5s[.]com

gaming-box[.]com

lydownload[.]net

movies-box[.]net

movies-cine[.]com

movies-cinema[.]com

myprivatephotoalbum[.]top

nctitds[.]top

office-2023[.]com

office-2023[.]net

office2023[.]net

payforme[.]top

photo-cam[.]com

photography-hq[.]com

pictures-album[.]com

privatecollection[.]top

programe[.]top

simpli[.]top

super-mario-deluxe[.]net

sportydesktops[.]com

takeforme[.]xyz

videovip[.]org

www-x-videos[.]com

x-album[.]com

x-album[.]net

x-albums[.]net

x-image[.]net

x-images[.]com

x-images[.]net

x-photobucket[.]top

x-photos[.]net

x-picture[.]net

x-pictures[.]net

xphotos-album[.]com

xphotos[.]net

xpictures[.]net

File Serving Domains / C2 Servers:

c[1-7].cembuyukhanli[.]com

c[1-7].somalisounds[.]com

h[1-7].helenrosi[.]com

v[1-7].viayonetici[.]com

k[1-7].karbilyazilim[.]com

n[1-7].nskfyl[.]com

i[1-7].vaishnaviinterior[.]com

i[1-7].ictorganisers[.]com

j[1-7].jinghuaqitb[.]com

j[1-7].jmooreassoc[.]com

e[1-7].wetterkameras[.]com

r[1-7].ritikajoshi[.]com

r[1-7].romeflirt[.]com

p[1-7].preppypm[.]com

kh[1-7].kimhasa[.]com

sb[1-7].shble[.]com

dl.privatecollection[.]top

dl.payforme[.]top

cdn.axphotoalbum[.]top

nctitds[.]top

phcde[.]top

ve1.techgeetam[.]com

ve2.techgeetam[.]com

te1.techgeetam[.]com

ve1.claker[.]top

Malicious Payload Files:

Filename Variations:

ONS_Bokyem{randomseed}.zip

Album Over Night With Me – Yuan Hee.zip

Album_Bad_Girl_Style.zip

Album_BeautifuIgirl_Inhostels.zip

Album_Beautiful_Girl_In_Hotels.zip

Album_Beautiful_Girl_In_The_Hotels.zip

Album_Beautiful_Girl_and_Friends_in_the_Hostel.zip

Album_Emily_In_Hotels.zip

Album_Fresh_Girl_Hwa_Mun_Hee_Sam_Myung_Buck_Studio_By_Ryeom_Dong_Sun_Photography.zip

Album_Hot_Girl_In_Hotel_Mei_Ying.zip

Album_Hot_Gymer_Yoon_So_Young_Jang_Myung_Dae_Studio_By_Yong_Jung_Hwa_Photographer.zip

Album_Jessica_and_Boyfriend_at_Home.zip

Album_ONS_Dang_Dae_Hyun.zip

Album_One_Night_Stand_Jing_Len.zip

Album_One_Night_Stand_Li_Shaw_Hwang_Chung_Wa_Studio_By_Gal_Dong_Min_Photographer.zip

Album_One_Night_Stand_Li_Shaw_In_Gook_Chin_Hae_Studio_By_Dong_Kyong_Photographer.zip

Album_One_Night_Stand_Li_Shaw_In_Jeomok_Daesung_Studio_By_Seong_Hwan_Photography.zip

Album_One_Night_Stand_Ren_Shi.zip

Album_One_Night_Stand_Shen_Zhi.zip

Album_One_Night_Stand_Yun_Hee.zip

Album_Over_Night_With_Me_Yuan_Hee_Ren_Tingguang_Studio_Chang_Jianjun_Photographer.zip

Album_Overnight_with_Beautiful_Girl.zip

Album_Pretty_Lonely_Girl.zip

Album_Rachel_In_The_Hotels.zip

Video_Helen_and_Boyfriend_at_Home.zip

GirlLeakFull.zip

CCleaner Professional 2023.zip

New_Super_Mario_Bros_U_Deluxe.zip

Office_2023_Full.zip

File Hashs (Partial List)

011c8af33ecff78288588aa434e4cc4ea78d208c669c01b2f724e68aae3f0a0c

01ba6ccb04787905b57b634dd7549081e989d0d1efcfb9f9efc93bcd558811ee

048b270391223a6f41aedbcd45f135c719f8b843c10b620a7c7cc4e4f11f46fe

0c944be48ead85db28f6abdad316736cf32a3f1047fed32e402140449dec985f

0e039b30986daeaa243a3eb02c9a7c5cf0dafc286302b4a1974aebf5ecc9bc1b

127039843ddbcf36fb8fffeaf0b6a1b1dd0523895788ba3ec077d2b1d60d0307

13c9558832abd4143522e4e6b84de884aa7af4184aed2f347e44511716d4a1fe

1568bd30d3865a6ea2347156ca57e810589c6f62c79e815a9db733e4d5cba58e

17f25e771110e1bbc1e6a4f2e4f662a851432f50693a2b5e7d2ba9c8290869d6

18287a851c3de040140c0a8015d6fe52342199cea86e565bcda2c36af5a646fb

18f3b519affcedc770a70009171cc6e454a7c7f855eab187a548b11f2bdfec46

1cbab44f2002b729fb743691096aefc19d4c21cc0497da0429b696901bbe339e

1d0b3654cab30ec51b4c8975547ea4428af54f9f250a25a5651cf005cd50763d

1d93b2edf0d9481d60f766e891f0aa21e2972292b610a1d952f52f4e9e76e14f

1dccd631d425919bdb0eeeb9ddab3bc4d372666796ef1db25e1274388733bf43

1fb47cec9095356217033f62ca9106f0724c6335d2136dbfcd8f59a3be6c2a88

2006dc7cbcfaa500a387d42e49a28d041e7b48cb54edc99ef1cdd1ada2f2f662

20b3254d43d14e2605454efa511f79d67c65b51f24e2eb8dd48a0c1d73a24c63

2158751e32774545bdefcbe445b741c869264b181c83d024da52bffffbc968c8

28b9952a6be452f821764e1f91ae9a99d3bfc36d7cb67df8b4cbec164f3980a7

2901f2d39820b1a46db1c095da3250f78d3a62acfcb9b46221dd790f8bab284b

29e7350ac07b1c2ed0f130694885b90030a22141cccb567865e4281616a04567

368d1aa7c621a61496da7c553585ef6f29157b247a28b535677cc84650a63e99

39a4c6bb4465799fbe9e77af16271600a08ed263e927233638906d6ceaab98d3

3ae71c6ee4e9f848183283caa95183a6778d6bb93cae24cd1024b9964be11cbc

3bff68194ab76b9ba96468fbb2f9c8b9b62d1a0502fecd2d6889849be204c8ed

3dc2ed2ca4a6d3b10c54bd6fb3b775b28f39f26b58d1e8f0edbdd22a7d124b28

4095ffa9e7391a9fd3de0a5d5649367afd1476d03f1933e6b933af93b3f2cf0c

43dba2bbd2085a515e2be3dfe53b31a0fb467e976a66e7af38832ed3ef6a7310

45379a07babf75c4b8608d507bfc588bfa08e17f419f9b470086d2e0c991ff7a

48ab2be4c0b2443b4ed8580bd8263b115fd4c22751adc2a21b5fe52898ce665f

4a838b726fada4cd128ad67750fb735a659548a142783a9d50e84b8acc4ac027

4b592255c796f18fa66ecabfa3e4ddbe808df1464421d1d487d81949427a8073

4dfcaa193d32b1b52a917f3cbd7f90e5a878e14f5eaa55ff1e127bd82ff1fcd5

54790f72f86d56140c08c34fcba24cc7de47a3d5e8c7f76ee5ce422b7b5e1381

60e892043a837f5b2224a5351a215c9bf14f3938b6b573f9f077d944bae48deb

64b7bcf7689e70aac6d1f1bf35d7db953b7943484dffd005eb8c92b38cd45cc8

65466adbdfe9559b2c046f35acc2681aafa117196467c7859e393c74202a6cf2

67ef86ea3e8903458c0ca018abab3b48058c045f649bad1f1b6048ab1a238f41

6819b70eaf85e1b8c5762fa88bfe3a7ab45bf6ee41aeb095959c2df5b7af695f

6b7530bc89eb386c3b1d89a2847ea1f569ac08960f00af2a344e5b821e476516

6c7d3b2f3400ec3ac84868b7c86339e6cac2652970d63a2e0d8703d364b86fa0

6e8a3b0f91dbbcacea3f34e79c12976f2b1e0630e200bff9265726b980dc01f7

738db32652ec2fd1fa8140f57e0a5f8b645bfdf3357d281056433690fa66219d

752e95c7d41fe917f6ae2b6627333719961feb98675826573c1f0681c651f61c

76d61c0bd8d1d66d670b4a0176e6868892701094788fb9c8599694bfc0dab44f

7776b5c7ecb9fb43618eea22bad42dfe92384129484cbee7722edec14786392d

777903b6d0545cd5feeac43d9f2b0e2ca89fcc0346b7f771b616845e2c84bab4

7ddd36067df13eead457fa4d107a1f8e66559a8129c7a5e228119d17241aae5c

7f6a851278ed5138b6f731f85760b70b8813ff2e563962b16905c7408797fc8d

84e790800ef6d5604c50e8854984610eeb005966902842335eaf3bc44b543f4c

872da30d1ee44494026dd09fc5f1207c5d0163f2d1d0d6096749b54096af51fe

87e02275cc993071c3fd3a026f8f4c2fd889edca888818ffaa4c2fa26f9b8091

87e995a07836a3f465b1ab39e964f4bfa161732156f142237803ed06cc06b13a

886ce15963e2241962eb52009d31fb848b54ef40c72434d889685afeea7cb7b0

8c9cf2b8dd4a0c1f1335c8644ef6afc39c1359a9998afaf51f96355637b68925

8f4a7a96d51933de7965a5ee4c5a56d36f0962111e8668b177ca79be770604f2

9451b7b4898deb6975039f13eed608700f6fe48a9a62c792327556a69d08d199

983b23ba4116e7643f0f01b9e4a4370822832212b2e5208791925af88b09b3c5

9943e11d067a45b75f5a6ba32a0857d1cb285be01d15f1cb6beed0393b8380f1

a00ac6357ae3e449d49f49cab2b0d095e2e0f3ac63b074e5d0257c6905677032

a18d8a42b74587363a56b178a5bc7df64860ebf388bcd1f42bc6c9924bbb094b

a1ab93bb1c2560585277283ed7dde95634cdcff01b0920d101824591390127a8

ac10cd180e9fbde1ff54024a31af67d07fd909d5d543bb751bbc6c93d5b7edef

b0590bbb1b8da28db4ee14ccc5756794714c08d25088edd627ba82521ec3ce63

b3bc502d42704033eccdfe8edd79b406a9d141e6755ed4225be32659383dcff4

b3c6157495b8cb0ca6a5c8e4d3189715a06e9011f792ddf439fefcbd08b63b69

b3c6157495b8cb0ca6a5c8e4d3189715a06e9011f792ddf439fefcbd08b63b69

b89c1d7dec6a46bd7e8d55520d82f6120d0341ce03abef30aa7fb195a6212f43

b8e1152e035ffcda72d31daef0ead565f0b26e869c7c4a5916b89f9152337252

badf98997da06f881e4ce840c5e782aa4fc3971786be5942704a4deab52cf9b7

bda6cb175689b8e6e0b0ce67fbef4d4070293aac24999f6883f9699a3bc9173d

c3940fe14a5216706a53ceee13b75f23d0f671027cb07c26ae7f4472ae746233

c9d57fdaefa6f88a7596571488cfe749b3c662cfbe860ebfb5bab5a6a0e31bf5

cd729da6dde5694eecf3a3a259e31fd6c5170642998367629b9690be43cceae0

ce19c1a4e7aa5b2160392a6529452556b8f371c0103f844632397a9f7535dfa8

cfa908fe922bd59dd162740e9e71744c81a9abec02e14a390e3f78d3551ff52c

d1476f64cd98c05c906d4b0ed3985e2c6070367c751202bac769668afa9ca3a2

d23332fc8c58c56de7c2d7693a4140087b25a5d6645914242104f039c1964ffd

d2de1dc79bef2e03ca8b53fc345a5ccfa224ea7237aeb74bcb155391e804e149

d35265e4ecc1636138ef372f780215199292235e52c0e7c733b66e29813c50d1

d453c795fde75a2b25ba3d2fd5af75771a41793302a463c0027ee0638b5d0ecd

d68aafb217a558417cf6a9991755dd9708206774002bb98007dbf31e87946144

d6d971bd5485c3241cd8ad25afea515aa5a0fe948a30015554ddb69fac3498af

d818e0899649e5963160aff698bbce56700bd3336efc92bde3c04e331d06610c

db4eba8a2e4d5cc9ab88152560f875810114414b390055e57089c4fbed512702

db8e416efe6ef3be79c9132eb576610ca80342cdb925be3b059ec63ec2cc807f

ddeb210f4ff5082e4fbbbc3a2c23b232f50066759e16c74e64fd69dd4bce7311

e43cc3e57cdb89967fd89bd2636d057781a7821f3d06d288c494e1a755ae4b9e

ee45f117b685536cdc8af14f98cda87bbb0ad48b73200ba1716da76884fb84c2

f546a4d9c15d5f91392fbf40173c193bbf8c90f3f5b27287b0767e57a6e8fc92

f58d1a0b33f846c90f808ba656b29b3d55ac94171beb5fcb1de891d4639173b5

f59c7259254c7229ddfe456e605a017d59921e51c4f14e686182f97bf40f9936

f73c482de2cea8cfbe9c1c72e5bbfee630017b219543eacdd6f83aa81a053850

f7c95ba1f577bb38e61e67202145a861780bc712374b341dfb4332654068ecb4

f8bee99baf8f53ac1260a9f6ef20de05f66835750dbb7799b0b67fa815a4e92a

fca625e970416f2d32713b402f0bf510a08c2bbde5b8d3618544158e142b14fa

ffd698d63fe407fce60977dc8367aad6ef42e13f30e0d2040ecdac82a95c9759

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – May 2023

Trong tháng 5, Microsoft đã phát hành các bản vá cho 38 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Microsoft Edge (Chromium-based); SharePoint Server; Visual Studio; SysInternals; và Microsoft Teams. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 31 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:

3.1.1     CVE-2023-29336– Win32k Elevation of Privilege Vulnerability.

CVSS: 7.8/10

Mô tả:  Win32k (win32k.sys) là một kernel mode driver, một thành phần quan trọng trong kiến trúc của Windows, có nhiệm vụ xử lý liên quan đến giao diện đồ họa và cửa sổ quản lý.

Driver (win32k.sys) tồn tại lỗ hổng leo thang đặc quyền cho phép kẻ tấn công thực thi các đoạn mã bằng quyền SYSTEM. Microsoft ghi nhận lỗ hổng đang được khai thác, sử dụng bởi các nhóm tấn công

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1

(Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2

(Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server

Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336

3.1.2    CVE-2023-29325 – Windows OLE Remote Code Execution Vulnerability.

CVSS: 8.1/10

Mô tả:  Lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã độc hại trên hệ thống của nạn nhân thông qua việc gửi 1 email dưới dạng “crafted RTF”. Chế độ “Preview Pane” cũng là 1 hướng để có thể khai thác, do đó nạn nhân không cần đọc tin nhắn vẫn có thể bị tấn công. Outlook có thể là ứng dụng chính nhằm để khai thác lỗ hổng này, tuy nhiên các ứng dụng Office khác cũng bị ảnh hưởng

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29325.

3.1.3    CVE-2023-24941 – Windows Network File System Remote Code Execution Vulnerability.

CVSS: 9.8/10

Mô tả:  Lỗ hổng cho phép kẻ tấn công, không cần xác thực, thực thi từ xa các đoạn mã độc hại trên hệ thống bị ảnh hưởng với đặc quyền cao. Lỗ hổng này tồn tại trên NFS phiên bản 4.1 nhưng các phiên bản NFSv2.0 và NFSv3.0 không bị ảnh hưởng. Do đó 1 biện pháp khắc phục tạm thời có thể là downgrade, sử dụng các phiên bản NFS cũ hơn, tuy nhiên Microsoft khuyến cáo chỉ thực hiện việc này trong trường hợp đã cài đặt bản vá May 2022 cho lỗ hổng CVE-2022-26937

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/updateguide/vulnerability/CVE-2023-24941

3.1.4   CVE-2023-24932 – Secure Boot Security Feature Bypass Vulnerability.

CVSS: 6.7/10

Mô tả:  Secure Boot là một cơ chế của Windows có nhiệm vụ ngăn chặn các tệp tin nghi ngờ độc hại ngay từ khi khởi động máy tính. Lỗ hổng cho phép kẻ tấn công vượt qua (bypass) cơ chế bảo vệ này. Để khai thác thành công lỗ hổng, kẻ tấn công cần có quyền truy cập vậy lý vào thiết bị hoặc có quyền quản trị

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932 https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-bootmanager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

3.1.5    CVE-2023-24955 – Microsoft SharePoint Server Remote Code Execution Vulnerability.

CVSS: 7.2/10

Mô tả:  Bằng cách kết hợp 2 lỗ hổng tạo thành một chuỗi khai thác (chain to 2 bug), lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống Micrsoft SharePoint bị ảnh hưởng

Phiên bản ảnh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/updateguide/vulnerability/CVE-2023-24955

3.2   Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1    CVE-2023-25690 – HTTP Request Smuggling.

CVSS: 9.8/10

Mô tả:  Lỗ hổng tồn tại trong các cấu hình liên quan đến mod_proxy, khai thác thành công cho phép kẻ tấn công vượt qua các biện pháp kiểm soát truy cập trong máy chủ proxy và ủy quyền các URL không mong muốn cho máy chủ gốc. Hiện tại mã khai thác đã public trên Internet: https://github.com/dhmosfunk/CVE-2023-25690-POC

Phiên bản ảnh hưởng:

Apache HTTP Server phiên bản từ 2.4.0 đến 2.4.55

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://httpd.apache.org/security/vulnerabilities_24.html

https://lists.debian.org/debian-lts-announce/2023/04/msg00028.html

3.2.2   CVE-2023-2825 – Arbitrary File Read Via Uploads Path Traversal.

CVSS: 10/10

Mô tả:  Tồn tại lỗ hổng Path Traversal cho phép kẻ tấn công không cần xác thực có thể đọc các tệp tùy ý trên máy chủ, trong trường hợp một tệp đính kèm tồn tại trong một dự án công khai nằm trong ít nhất 5 groups. Khai thác thành công lỗ hổng, tin tặc có thể truy cập dữ liệu nhạy cảm từ máy chủ như mã nguồn, dữ liệu người dùng và các chi tiết cấu hình quan trọng.

Phiên bản ảnh hưởng:

GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản 16.0.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

https://about.gitlab.com/update/