1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Lotus Panda và hoạt động tấn công mạng trở lại.
Ngày 29/04/2022, nhóm Threat Intelligence của Cluster25 đã thông báo về sự hoạt động trở lại của nhóm Lotus Panda, APT có nguồn gốc từ Trung Quốc (còn được gọi là NAIKON). Mục tiêu của nhóm này thường nhắm tới các cơ quan chính phủ, tổ chức quân sự và các doanh nghiệp, công ty thuộc sở hữu nhà nước trong khu vực Đông Nam Á, bao gồm cả Việt Nam.
Trong cuộc tấn công được phân tích bởi đội ngũ Cluster25 , nhóm Lotus Panda đã gửi một email lừa đảo chứa một tệp tài liệu độc hại. Tệp tài liệu này chứa mã macro sẽ trích xuất 2 tệp ra thư mục hệ thống tệp, trong trường hợp này là: “%Temp%\rad543C7.tmp.ini” và “%Temp%\rad543C7.tmp.exe“
Tệp “rad543C7.tmp.exe” đã được cộng đồng biết đến từ năm ngoái và nó được đặt tên là HexINI . Nó có tác dụng như một trình tải cho shellcode “rad543C7.tmp.ini”
Sau khi mã shellcode được thực thi, nó sẽ tạo ra một tiến trình bị treo của svchost.exe và inject một HTTP beacon vào tiến trình svchost.exe này cho phép nó nhận lệnh điều khiển từ C&C của kẻ tấn công. Nhóm Cluster25 phát hiện ra HTTP beacon có nguồn gốc từ một framework RedTeam ít phổ biến được gọi là Viber
Hình 1: Chuỗi tấn công được sử dụng bởi Lotus Panda trong cuộc tấn công này
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Execution | T1204 | User Execution |
Defense Evasion | T1055 | Process Injection |
Defense Evasion | T1406 | Obfuscated Files or Information |
Command and Control | T1573 | Encrypted Channel |
Command and Control | T1105 | Ingress Tool Transfer |
Command and Control | T1071 | Application Layer Protocol |
Command and Control | T1571 | Non-Standard Port |
Indicators of Compromise (IoCs)
File hash / SHA256
05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd
8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca
ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a
eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f
C2-Server
175.27.164.228
Nguồn: https://cluster25.io/2022/04/29/lotus-panda-awake-last-strike/
1.2 Chiến dịch (Dragon) EviLoong: Các cuộc tấn công mạng của nhóm tin tặc “không biên giới”.
Ngày 09/05/2022, Nhóm nghiên cứu threat intelligence của Qi-Anxin đã thông báo về một nhóm tin tặc đang thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các công ty trò chơi, ngành dược phẩm, blockchain, tài chính doanh nghiệp, nhân viên vận hành và bảo trì, v.v. và đánh cắp dữ liệu của các nạn nhân. Họ đặt tên cho nhóm tin tặc này là ATP-Q-29. Các nạn nhân của ATP-Q-29 phân bổ ở khắp nơi trên thế giới, chủ yếu ở Đông Á, Đông Nam Á, Châu Âu và Bắc Mỹ.
Nhóm nghiên cứu của Qi-Anxin phát hiện ra rằng nhóm tin tặc này thường gửi các tài liệu lừa đảo đến nạn nhân thông qua email, mạng xã hội,… để có thể xâm nhập vào hệ thống mạng của nạn nhân.
Các mẫu mã độc được nhóm tin tặc sử dụng có độ phức tạp và khả năng tránh bị phát hiện cao. Các mẫu mã độc được ký với chữ ký số và được tải vào kernel sử dụng kỹ thuật dll hijacking. Ngoài ra còn có các chức năng che giấu kết nối TCP tới C&C, lọc tệp để chống lại quá trình quét vi-rút,…
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Persistence | T1543.003 | Create or Modify System Process: Windows Service |
Execution | T1106 | Native API |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1574 | Hijack Execution Flow |
Command and Control | T1095 | Non-Application Layer Protocol |
Indicators of Compromise (IoCs)
File hash / MD5
fc5d4cc0dbee5b184438a7f5dc3a804a
52ced5aa64a999dbd68a3c2525102731
4ce0604a5bbccd5f8edde3d3a195f6a2
2caf2f56a1f0dafd11abbc74dc113088
352f920aad028394a50d291889df51ea
832bd69960770c053850de98387be50c
Nguồn: https://mp-weixin-qq-com.translate.goog/
1.3 APT34 nhắm mục tiêu vào Chính phủ Jordan sử dụng Saitama backdoor mới.
Ngày 10/5/2022, nhóm Threat Intelligence của Malwarebytes LABS đã thông báo về một cuộc tấn công mạng của nhóm APT34 nhắm vào một quan chức chính phủ của bộ ngoại giao Jordan. APT34 là một nhóm hacker Iran thường nhắm mục tiêu vào các quốc gia Trung Đông và các nạn nhân trên toàn thế giới kể năm 2014. Nạn nhân của chúng tập trung vào các lĩnh vực tài chính, chính phủ, năng lượng, hóa chất và viễn thông. APT34 còn được biết đến với các tên gọi khác như OilRig/ COBALT GYPSY/ IRN2/ HELIX KITTEN.
Kẻ tấn công gửi email đính kèm một tệp Excel tới nạn nhân và giả mạo là một thành viên của Chính phủ Jordan. Một khi nạn nhân mở tệp Excel và kích hoạt macro, hàm WorkBook_Open() sẽ thực hiện các hoạt động độc hại, tạo schedule task “MicrosoftUpdate” để thực thi tệp update.exe (được drop từ marcro):
Saitama backdoor (tệp update.exe) được viết bằng .Net và có đường dẫn pdb là “E:\Saitama\Saitama.Agent\obj\Release\Saitama.Agent.pdb”.
Saitama backdoor lạm dụng giao thức DNS cho các giao tiếp với C&C. Điều này khiến nó khó bị phát hiện hơn các phương pháp giao tiếp khác, chẳng hạn như HTTP. Ngoài ra, kẻ tấn công còn sử dụng các kỹ thuật như nén và đặt backdoor ở chế độ ngủ giữa các giai đoạn nhận lệnh từ C&C nhằm ngụy trang lưu lượng truy cập độc hại với lưu lượng truy cập hợp pháp.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566.001 | Spearphishing |
Execution | T1059.001 | PowerShell |
T1059.003 | Windows Command Shell | |
T1053.005 | Scheduled Task | |
T1204.002 | Malicious File | |
T1047 | Windows Management Instrumentation | |
Persistence | T1053.005 | Scheduled Task |
Defense Evasion | T1480 | Execution Guardrails |
Discovery | T1087.001 | Local Account |
T1083 | File and Directory Discovery | |
T1049 | System Network Connections Discovery | |
Command and Control | T1071.004 | DNS |
T1132.002 | Non-Standard Encoding | |
T1568.002 | Domain Generation Algorithms | |
Exfiltration | T1041 | Exfiltration Over C2 Channel |
Indicators of Compromise (IoCs)
File hash / SHA256
26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
C2-Server
uber-asia.com
asiaworldremit.com
joexpediagroup.com
Nguồn:
https://www.fortinet.com/blog/threat-research/please-confirm-you-received-our-apt
1.4 Nhóm tin tặc Trung Quốc “Space Pirates” đang tấn công các doanh nghiệp hàng không vũ trụ của Nga.
Ngày 17/05/2022, nhóm nghiên cứu Threat Intelligence của Positive Technologies (PT ESC) đã thông báo về một nhóm APT mới và đặt tên là “Space Pirates”. Nhóm PT ESC cho rằng “Space Pirates” có nguồn gốc từ Trung Quốc và đang nhắm mục tiêu vào việc đánh cắp thông tin bí mật từ các doanh nghiệp trong lĩnh vực hàng không vũ trụ của Nga.
Space Pirates bắt đầu hoạt động kể từ năm 2017, có ít nhất 5 tổ chức đã bị tấn công ở Nga, một ở Gruzia, và một số nạn nhân ở Mông Cổ. Trong một trường hợp tấn công vào tổ chức của Nga, những kẻ tấn công đã giành được quyền truy cập vào ít nhất 20 máy chủ trong khoảng 10 tháng. Trong thời gian này, hơn 1.500 tài liệu nội bộ đã bị đánh cắp, cũng như thông tin về các tài khoản của nhân viên. Trong một trường hợp khác, những kẻ tấn công đã duy trì hoạt động trong mạng của công ty nạn nhân hơn một năm, lấy thông tin về các máy tính trong mạng và cài đặt phần mềm độc hại trên ít nhất 12 nodes của công ty ở ba khu vực khác nhau.
Bộ công cụ của Space Pirates bao gồm các trình tải xuống tùy chỉnh và một số backdoors chưa từng gặp trước đây và có lẽ là dành riêng cho chúng: MyKLoadClient, BH_A006 và Deed RAT. Nhóm tội phạm cũng sử dụng các biến thể hiện đại của Zupdax backdoor với cơ chế thực thi MyKLoadClient tương tự.
Ngoài ra, những kẻ tấn công còn sử dụng các phần mềm độc hại nổi tiếng như: PlugX, ShadowPad, Poison Ivy, phiên bản sửa đổi của PcShare và ReVBShell. Tiện ích dog-tunnel cũng được sử dụng để tạo kết nối với C2 của kẻ tấn công.
MyKLoadClient là một trình tải sử dụng lưu trữ SFX kết hợp với DLL side-loading thông qua thư viện trình khởi chạy bổ trợ “AntiVirusLoader.dll” được ký bởi McAfee Inc.
BH_A006 là một phiên bản đã được sửa đổi khá nhiều của Gh0st backdoor, có nhiều lớp xáo trộn để vượt qua các biện pháp bảo vệ an ninh và ngăn cản phân tích.
Một công cụ tùy chỉnh thú vị khác là Deed RAT, có một phương pháp thông minh, bất thường để chuyển quyền điều khiển sang shellcode. Các chức năng của Deed RAT phụ thuộc vào việc tìm nạp và tải các plugin nào. Các giao thức được hỗ trợ cho giao tiếp C2 bao gồm TCP, TLS, HTTP, HTTPS, UDP và DNS, vì vậy backdoor có mức độ linh hoạt cao.
ATT&CK MATRIX
Indicators of Compromise (IoCs)
Danh sách đầy đủ ATT&CK MATRIX, IoCs và phân tích kỹ thuật xem thêm tại link:
2 Malware
2.1 Tổng hợp mẫu mã độc nhóm Sidewinder sử dụng
Các nhóm nghiên cứu của 360 Threat Intelligence Center gần đây đã phát hiện một số cuộc tấn công sử dụng mã độc được thực hiện bởi nhóm Sidewinder, với phương thức tấn công mới
Mã độc nhúng các marco trong file .doc, khi marco được thực thi, nó sẽ drop thêm các file ở đường dẫn “%Temp%\Loading..htm”.files”
Sidewinder đọc nội dung trong file image003.png. Cấu hình trong file này chia làm 3 phần, 120 bytes đầu tiên là header của file, 255 bytes tiếp theo là địa chỉ URL được sử dụng nhằm mục đích upload error log khi code không được thực thi. 255 bytes tiếp theo chứa địa chỉ của URL được sử dụng nhằm tải xuống thêm file. Hàm Shapes.AddPicture sẽ đọc địa chỉ này, tải xuống và lưu với tên image001.png.
File image001.png sẽ lưu file mới có tên rec2.doc tại đường dẫn %userprofile%\AppData\Roaming\Microsoft\Templates\rec2.doc và thực thi marco được nhúng trong tài liệu. Sau quá trình thực thi marco, các file sau sẽ được tải xuống tại đường dẫn
%UserProFile%\AppData\Local\Microsoft\OneDrive\*\amd64\filesyncshell64.dll
%UserProFile%\AppData\Local\Microsoft\OneDrive\*\filesyncshell64.dll
%UserProFile%\AppData\Roaming\Microsoft\Templates\Introduction to Canton Fair Global Cooperative Partnership Program.doc
%UserProFile%\AppData\Local\Microsoft\OneDrive\*\i386\filesyncshell.dll
%UserProFile%\AppData\Local\Microsoft\OneDrive\*\filesyncshell.dll
File Introduction to Canton Fair Global Cooperative Partnership Program.doc được mở nhằm mục đích lừa nạn nhân
File Filesyncshell.dll là file được phát triển bởi Microsoft OneDrive là một phần của Microsoft OneDrive Shell . DLL thường nằm trong thư mục “% UserProFile% \ AppData \ Local \ Microsoft \ OneDrive \ <số phiên bản> \”, explorer.exe sẽ gọi tới DLL này, bằng việc thay thế file Filesyncshell.dll, Sidewinder lợi dụng nhằm mục đích persistence
Indicators of Compromise (IoCs)
MD5:
0cc6f7eddb1cd93d05ce9941a1d66dc6
013513303527ab53d4b95be0ef084a9a
648fc56e5fcdd5d1a85404698fcfb3f9
3c15c13e8840d8bb87efd8c2b1d8ab9a
0f3e84d70550be0ccb65b720d076dc76
cccf525795dd3c08ce06d24a679d7041
21683a24ee5ffe675e0a0854de3e8224
94a2cc90732548f387920c024055a9e9
C&C:
https://mailcantonfair.cssc.info/ChinaForeignTradeCentre-6e7d38eb
https://mailcantonfair.cssc.info/3117/1/25399/2/1/0/0/a7UrSGszlkeU4pxbesS7rZXwwwor1RvyPWSG8vNA/files-0333f997/0
https://mailcantonfair.cssc.info/3117/1/25399/3/3/0/1865608801/a7UrSGszlkeU4pxbesS7rZXwwwor1RvyPWSG8vNA/files-152e08e6/1/cuuimd?t=0&d=
https://mailcantonfair.cssc.info/3117/1/25399/3/3/0/1865608801/a7UrSGszlkeU4pxbesS7rZXwwwor1RvyPWSG8vNA/files-152e08e6/1/cuuimd
https://mailcantonfair.cssc.info/3117/1/25399/3/3/0/1865608801/a7UrSGszlkeU4pxbesS7rZXwwwor1RvyPWSG8vNA/files-c221fc39/1/cuuifss
https://mailcantonfair.cssc.info/3117/1/25399/2/3/0/1865591248/a7UrSGszlkeU4pxbesS7rZXwwwor1RvyPWSG8vNA/files-f776076f/log1
https://mailcantonfair.cssc.info/3117/1/25399/2/1/0/0/a7UrSGszlkeU4pxbesS7rZXwwwor1RvyPWSG8vNA/files-0333f997/0
https://mailcantonfair.cssc.info/3117/1/25399/2/3/0/1865591252/a7UrSGszlkeU4pxbesS7rZXwwwor1RvyPWSG8vNA/files-c981dc38/log1
Nguồn: https://mp.weixin.qq.com/s/qsGxZIiTsuI7o-_XmiHLHg
2.2 Tổng hợp mẫu mã độc của nhóm Mustang Panda sử dụng cho hoạt động tấn công vào các tổ chức ở Việt Nam
Nhóm nghiên cứu của VinCSS gần đây đã phân tích một số mẫu mã độc với các dấu hiệu đặc trưng liên quan tới nhóm Mustang Panda. Các mẫu mã độc này đều có tên chung là log.dll được tải lên VirusTotal từ Việt Nam.
Log.dll có tên gốc là ljAt.dll, export hai hàm là LogFree và LogInit.
Hàm export LogFree sử dụng kỹ thuật Control Flow Flattening nhằm xóa trộn luồng của chương trình. Quá trình phân tích nhận thấy hàm LogFree không thực hiện nhiệm vụ gì
Hàm export LogInit gọi tới hàm LogInit_0. Nhiệm vụ của hàm là đọc nội dung của file log.dat và thực thi shellcode bằng cách:
– Gọi hàm GetModuleHandleW để lấy handle của kernel32.dll.
– Gọi hàm GetProcAddress để lấy địa chỉ của các hàm APIs: VirtualAlloc, GetModuleFileNameA, CreateFileA, ReadFile.
– Sử dụng các hàm APIs trên để lấy đường dẫn tới file log.dat và đọc nội dung của file này vào vùng nhớ đã được cấp phát.
– Thực hiện giải mã nội dung của log.dat thành shellcode để sau đó shellcode này được thực thi bởi lời gọi từ hàm LogInit_0.
File log.dat sử dụng trong quá trình phân tích có thông tin hash: 2de77804e2bd9b843a826f194389c2605cfc17fd2fafde1b8eb2f819fc6c0c84
https://www.virustotal.com/gui/file/2de77804e2bd9b843a826f194389c2605cfc17fd2fafde1b8eb2f819fc6c0c84/detection
Sau quá trình giải mã file log.dat để có được shellcode, shellcode có nhiệm vụ chính là giải nén ra một file DLL có tên gốc là RFPmzNfQQFPXX, load DLL này vào một vùng nhớ mới và gọi tới hàm mà DLL này export (hàm Main) để thực thi
Mã độc thực hiện điều chỉnh các token SeDebugPrivilege và SeTcbPrivilege cho chính tiến trình của nó nhằm có được quyền truy cập đầy đủ tới các tiến trình hệ thống. Sau đó, nó tạo một thread chính được đặt tên là “bootProc”. Mã độc sẽ nhận lệnh từ kẻ tấn công để thực thi các chức năng tương ứng liên quan tới Disk, Network, Process, Registry, v..v…
Mã độc giao tiếp với C2 thông qua các giao thức TCP, HTTP hoặc UDP tùy vào từng cấu hình. Các cấu hình C2 được đặt trong shellcode và bắt đầu từ offset 0x69 với kích thước là 5388 byte, key giải mã là 0xB4. Quá trình giải mã thu được các C2:
Một trong số những file log.dat khác (https://www.virustotal.com/gui/file/02a9b3beaa34a75a4e2788e0f7038aaf2b9c633a6bdbfe771882b4b7330fa0c5/detection )có C2 liên quan đến Việt Nam
Indicators of Compromise (IoCs)
log.dll – db0c90da56ad338fa48c720d001f8ed240d545b032b2c2135b87eb9a56b07721
log.dll – 84893f36dac3bba6bf09ea04da5d7b9608b892f76a7c25143deebe50ecbbdc5d
log.dll – 3171285c4a846368937968bf53bc48ae5c980fe32b0de10cf0226b9122576f4e
log.dll – 604b202cbe5e97c7c8a74a12e1f08e843c08ae08be34dc60b8518b9417c133a9
log.dll – da28eb4f4a66c2561ce1b9e827cb7c0e4b10afe0ee3efd82e3cc2110178c9b7a
log[.]dat – 2de77804e2bd9b843a826f194389c2605cfc17fd2fafde1b8eb2f819fc6c0c84
Decrypted config:
[**] Proto info: HTTP:// [**] C2 servers:86[.]78[.]23[.]152:53
86[.]78[.]23[.]152:22
86[.]78[.]23[.]152:8080
86[.]78[.]23[.]152:23
[**] Campaign ID: 1234log[.]dat – 0e9e270244371a51fbb0991ee246ef34775787132822d85da0c99f10b17539c0
Decrypted config:
[**] Proto info: HTTP:// [**] C2 servers:86[.]79[.]75[.]55:80
86[.]79[.]75[.]55:53
86[.]79[.]75[.]46:80
86[.]79[.]75[.]46:53
[**] Campaign ID: 1234log[.]dat – 3268dc1cd5c629209df16b120e22f601a7642a85628b82c4715fe2b9fbc19eb0
Decrypted config:
[**] Proto info: HTTP:// [**] C2 servers:86[.]78[.]23[.]152:23
86[.]78[.]23[.]152:22
86[.]78[.]23[.]152:8080
86[.]78[.]23[.]152:53
[**] Campaign ID: 1234log[.]dat – 02a9b3beaa34a75a4e2788e0f7038aaf2b9c633a6bdbfe771882b4b7330fa0c5 (THOR PlugX variant)
Decrypted config:
[**] Proto info: HTTP:// [**] C2 servers:www[.]locvnpt[.]com:443
www[.]locvnpt[.]com:8080
www[.]locvnpt[.]com:80
www[.]locvnpt[.]com:53
[**] Campaign ID: 1234Nguồn: https://blog.vincss.net/2022/05/re027-nhom-apt-mustang-panda-co-the-van-dang-tiep-tuc-hoat-dong-tan-cong-vao-cac-to-chuc-tai-Vietnam.html
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – May 2022
Trong tháng 5, Microsoft đã phát hành các bản vá cho 74 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components, Microsoft Edge (Chromium-based), Microsoft Exchange Server, Office và Office Components, Windows Hyper-V, Windows Authentication Methods, BitLocker, Windows Cluster Shared Volume (CSV), Remote Desktop Client, Windows Network File System, NTFS và Windows Point-to-Point Tunneling Protocol.
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2022-26925 – Windows LSA Spoofing Vulnerability
CVSS v3: 8.1
Mô tả: lỗ hổng cho phép kẻ tấn công không cần xác thực xác thực tới Domain Controller thông qua NTLM. Microsoft ghi nhận lỗ hổng đã có nhóm tấn công khai thác lỗ hổng. Lỗ hổng được đánh giá số điểm là 9.8 nếu kết hợp với NTLM relay attacks.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925
3.1.2 CVE-2022-26937 – Windows Network File System Remote Code Execution Vulnerability
CVSS v3: 9.8
Mô tả: lỗ hổng được đánh giá mức độ Critical với số điểm 9.8. Lỗ hổng ảnh hưởng đến Network File System (NFS) service cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý trên hệ thống bị ảnh hưởng
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation) |
Windows Server 2012 R2 |
Windows Server 2012 (Server Core installation) |
Windows Server 2012 |
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) |
Windows Server 2008 for x64-based Systems Service Pack 2 |
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
Windows Server 2008 for 32-bit Systems Service Pack 2 |
Windows Server 2016 (Server Core installation) |
Windows Server 2016 |
Windows Server, version 20H2 (Server Core Installation) |
Windows Server 2022 (Server Core installation) |
Windows Server 2022 |
Windows Server 2019 (Server Core installation) |
Windows Server 2019 |
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26937
3.1.3 CVE-2022-26923 – Active Directory Domain Services Elevation of Privilege Vulnerability
CVSS v3: 8.8
Mô tả: lỗ hổng được đánh giá mức độ Critical với số điểm 8.8. Lỗ hổng tồn tại liên quan đến việc cung cấp certificates, thông qua việc tạo payload đặc biệt, kẻ tấn công có thể chiếm được certificate và sử dụng để xác thực lên domain controller, được sử dụng nhằm leo thang đặc quyền lên người dùng có đặc quyền cao như domain admin
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2022-1388 – BIG-IP iControl REST vulnerability
CVSS v3: 9.8
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực có quyền truy cập vào hệ thống BIG-IP, từ đó có thể thực thi các câu lệnh hệ thống tùy ý, tạo và xóa files, thậm chí tiến hành disable services
Phiên bản ảnh hưởng:
– BIG-IP versions 16.1.0 to 16.1.2
– BIG-IP versions 15.1.0 to 15.1.5
– BIG-IP versions 14.1.0 to 14.1.4
– BIG-IP versions 13.1.0 to 13.1.4
– BIG-IP versions 12.1.0 to 12.1.6
– BIG-IP versions 11.6.1 to 11.6.5
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://support.f5.com/csp/article/K55879220
https://support.f5.com/csp/article/K23605346