Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Earth Longzhi: phân nhóm mới của APT41
Ngày 09/11, các nhà nghiên cứu của TrendMirco đã tiết lộ thông tin về các chiến dịch được triển khai bởi một phân nhóm mới của APT41, Eart Longzhi. Chiến dịch đầu tiên từ năm 2020 đến năm 2021, Earth Longzhi đã nhắm mục tiêu vào chính phủ, cơ sở hạ tầng và ngành y tế ở Đài Loan và lĩnh vực ngân hàng ở Trung Quốc. Chiến dịch thứ hai từ năm 2021 đến năm 2022, nhóm nhắm mục tiêu vào các nạn nhân nổi tiếng trong ngành quốc phòng, hàng không, bảo hiểm và phát triển đô thị ở Đài Loan, Trung Quốc, Thái Lan, Malaysia, Indonesia, Pakistan và Ukraine.
Cả hai chiến dịch đều sử dụng email lừa đảo để phân phối phần mềm độc hại của Earth Longhzhi. Kẻ tấn công nhúng phần mềm độc hại vào các tệp nén có mật khẩu hoặc chia sẻ liên kết để tải xuống phần mềm độc hại, dụ nạn nhân cung cấp thông tin. Khi mở liên kết, nạn nhân được chuyển hướng đến Google Drive lưu trữ trình tải Cobalt Strike.
Hình 1.1 Phát tán phần mềm độc hại qua email lừa đảo bằng tiếng Trung
Trong một số trường hợp, tẻ tấn công khai thác các ứng dụng công khai để triển khai và thực thi một trình tải xuống đơn giản để tải xuống shellcode và các công cụ hack.
Hình 1.2 Phát tán phần mềm độc hại thông qua khai thác các ứng dụng công khai
Nhóm Earth Longzhi cũng sử dụng nhiều loại trình tải Cobalt Strike tùy chỉnh khác nhau, nhóm nghiên cứu của TrendMirco gọi chúng là CroxLoader, BigpipeLoader, MultiPipeLoader và OutLoader.
Có 2 biến thể khác nhau của CroxLoader, biến thể đầu tiên giải mã tải trọng được nhúng và đưa tải trọng đã giải mã vào quy trình từ xa, biến thể thứ hai của CroxLoader mở tài liệu mồi nhử và chạy tải trọng đã giải mã trong memory.
Trong một trường hợp khác, kẻ tấn công tạo ra một tệp WTSAPI32.dll độc hại được thiết kế để tải bởi một ứng dụng hợp pháp “wusa.exe”. Thao tác này sẽ khởi chạy tệp BigpipeLoader được mã hóa (chrome.inf). Trình tải BigpipeLoader sử dụng thuật toán AES-128-CFB để giải mã tải trọng.
MultipipeLoader và OutLoader tương tự như CroxLoader và BigpipeLoader nhưng có một chút khác biệt về tính năng. MultipipeLoader sử dụng nhiều luồng để đọc/ghi tải trọng được mã hóa như BigpipeLoader, nhưng nó thực hiện quy trình giải mã tương tự như CroxLoader. Trong khi đó, OutLoader tải xuống tải trọng từ một máy chủ từ xa, nhưng chức năng khác của nó giống như BigpipeLoader.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Initial Access | T1190 | Exploit Public-Facing Application |
Reconnaissance | T1589.002 | Gather Victim Identity Information: Email Addresses |
Defense Evasion | T1574.002 | Hijack Execution Flow: DLL Side-Loading |
Defense Evasion | T1055 | Process Injection |
Defense Evasion | T1211 | Exploitation for Defense Evasion |
Defense Evasion | T1562.001 | Impair Defenses: Disable or Modify Tools |
Defense Evasion | T1036.007 | Masquerading: Double File Extension |
Defense Evasion | T1070.006 | Indicator Removal: Timestomp |
Persistence | T1547.012 | Boot or Logon Autostart Execution: Print Processors |
Privilege Escalation | T1068 | Exploitation for Privilege Escalation |
Credential Access | T1555.003 | Credentials from Password Stores: Credentials from Web Browsers |
Credential Access | T1003.001 | OS Credential Dumping: LSASS Memory |
Credential Access | T1003.006 | OS Credential Dumping: DCSync |
Command and Control | T1071.001 | Web Protocols |
Command and Control | T1090.001 | Proxy: Internal Proxy |
Command and Control | T1090.002 | Proxy: External Proxy |
Command and Control | T1090.004 | Proxy: Domain Fronting |
Command and Control | T1095 | Non-Application Layer Protocol |
Command and Control | T1573.002 | Encrypted Channel: Asymmetric Cryptography |
Indicators of Compromise (IoCs)
Files / hash SHA 256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 Domain / IP
47.108.173.88
www.affice366.com
www.vietsovspeedtest.com
c.ymvh8w5.xyz
139.180.138.226
1.2 Cranefly: các kỹ thuật và công cụ chưa từng thấy trước đây
Ngày 28/10, nhóm nghiên cứu của Symantec đã phát hiện ra một dropper mới đang được sử dụng để cài đặt một backdoor mới và các công cụ khác bằng cách sử dụng kỹ thuật đọc command mới từ nhật ký dịch vụ Internet Information Services (IIS). Dropper (Trojan.Geppei) đang được sử dụng bởi một mối đe dọa Symantec gọi là Cranefly để cài đặt một phần mềm độc hại mới (Trojan.Danfuan) và các công cụ khác.
Trojan.Geppei sử dụng PyInstaller để chuyển đổi tập lệnh Python thành tệp thực thi. Geppei đọc các lệnh từ nhật ký IIS hợp pháp. Nhật ký IIS dùng để ghi lại dữ liệu từ IIS, chẳng hạn như các trang web và ứng dụng. Những kẻ tấn công có thể gửi lệnh đến máy chủ web bị xâm nhập bằng cách ngụy trang chúng dưới dạng yêu cầu truy cập web. IIS ghi nhật ký chúng như bình thường nhưng Trojan.Geppei có thể đọc chúng dưới dạng lệnh.
Các lệnh được đọc bởi Geppei chứa các tệp .ashx được mã hóa độc hại. Các tệp này được lưu vào một thư mục tùy ý được xác định bởi tham số lệnh và chúng chạy dưới dạng backboor.
Các chuỗi Wrde, Exco và Cllo thường không xuất hiện trong tệp nhật ký IIS. Chúng dường như được Geppei sử dụng để phân tích cú pháp yêu cầu HTTP độc hại; sự hiện diện của các chuỗi này sẽ khiến dropper thực hiện hoạt động trên máy.
Những kẻ tấn công có thể sử dụng một URL giả hoặc thậm chí một URL không tồn tại để gửi các lệnh này vì IIS ghi nhật ký 404 trong cùng một tệp nhật ký theo mặc định.
Trojan.Danfuan là một phần mềm độc hại chưa từng thấy trước đây. Nó là một DynamicCodeCompiler biên dịch và thực thi mã C# nhận được. Nó dường như dựa trên công nghệ biên dịch động .NET. Loại mã được biên dịch động này không được tạo trên đĩa mà tồn tại trong bộ nhớ. Nó hoạt động như một backdoor trên các hệ thống bị nhiễm.
Việc sử dụng một kỹ thuật mới và các công cụ tùy chỉnh, cũng như các bước được thực hiện để che giấu dấu vết của hoạt động này trên các máy nạn nhân, cho thấy rằng Cranefly là một nhóm đe dọa khá lành nghề. Mặc dù không thấy dữ liệu bị lấy ra khỏi máy nạn nhân, nhưng các công cụ được triển khai và nỗ lực thực hiện để che giấu hoạt động này cho thấy động cơ rất có thể của nhóm này là thu thập thông tin tình báo.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Resource Development | T1587.001 | Develop Capabilities: Malware |
Resource Development | T1588.002 | Obtain Capabilities: Tool |
Execution | T1059.006 | Command and Scripting Interpreter: Python |
Defense Evasion | T1140 | Deobfuscate/Decode Files or Information |
Defense Evasion | T1027.004 | Obfuscated Files or Information: Compile After Delivery |
Defense Evasion | T1070.004 | Indicator Removal: File Deletion |
Indicators of Compromise (IoCs)
Files / hash SHA 256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.3 AXLocker, Octocrypt và Alice: dẫn đầu làn sóng chiến dịch ransomware mới
Ngày 18/11, nhóm Cyble Research and Intelligence Labs (CRIL) đã theo dõi hoạt động của các nhóm ransomware mới đang phát triển gần đây. Dẫn đầu là ba dòng ransomware mới: AXLocker, Octocrypt và Alice Ransomware.
AXLocker có khả năng mã hóa một số loại tệp và khiến chúng hoàn toàn không sử dụng được. Ngoài ra, ransomware đánh cắp Discord tokens từ máy của nạn nhân và gửi chúng đến máy chủ C&C. Sau đó, một ghi chú đòi tiền chuộc được hiển thị trên hệ thống của nạn nhân để lấy công cụ giải mã, khôi phục các tệp được mã hóa. AXLocker tìm kiếm các tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin cụ thể để mã hóa và loại trừ một số thư mục khỏi quá trình mã hóa, như trong hình sau:
AXLocker sử dụng thuật toán mã hóa AES để mã hóa các tệp. AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa
Sau khi mã hóa các tệp của nạn nhân, ransomware thu thập thông tin nhạy cảm như Tên máy tính, Tên người dùng, Địa chỉ IP của máy, UUID hệ thống và Discord tokens tại các thư mục:
- Discord\Local Storage\leveldb
- discordcanary\Local Storage\leveldb
- discordptb\leveldb
- Opera Software\Opera Stable\Local Storage\leveldb
- Google\Chrome\User Data\\Default\Local Storage\leveldb
- BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
- Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb
sau đó gửi thông tin đến máy chủ Discord của kẻ tấn công:
- hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimbA7xriJVmtb14gUP3VCBBZ0AZR
Octocrypt là một chủng ransomware mới nhắm mục tiêu tất cả các phiên bản Windows. Ransomware được viết bằng Golang. Các kẻ tấn công đằng sau Octocrypt hoạt động theo mô hình kinh doanh Ransomware-as-a-Service (RaaS) và xuất hiện trên các diễn đàn tội phạm mạng vào khoảng tháng 10 năm 2022 với giá 400 USD.
Khi thực thi, Octocrypt sẽ kiểm tra đảm bảo kết nối internet của hệ thống, sau đó kiểm tra kết nối TCP để truy cập URL API.
Sau đó, Octocrypt bắt đầu quá trình mã hóa bằng cách liệt kê các thư mục và mã hóa các tệp của nạn nhân bằng thuật toán AES-256-CTR, thêm phần mở rộng là “.octo”.
Alice ransomware cũng đang được các kẻ tấn công giao bán theo mô hình kinh doanh Ransomware-as-a-Service (RaaS). Trình tạo Alice ransomware được giao bán công khai trên các diễn đàn tội phạm mạng
Trình tạo Alice ransomware cho phép các kẻ tấn công tạo các tệp nhị phân ransomware với ghi chú tiền chuộc tùy chỉnh. Sau khi nhập thông báo đòi tiền chuộc và nhấp vào nút “New Build” trong trình tạo, nó sẽ tạo ra hai tệp thực thi có tên “Encryptor.exe” và “Decryptor.exe”. Alice sẽ mã hóa các tệp của nạn nhân và thêm phần mở rộng là “.alice”.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Execution | T1204 | User Execution |
Execution | T1059 | Command and Scripting Interpreter |
Execution | T1047 | Windows Management Instrumentation |
Persistence | T1547.001 | Registry Run Keys / Startup Folder |
Persistence | T1053 | Scheduled Task/Job |
Defense Evasion | T1497 | Virtualization/Sandbox Evasion |
Credential Access | T1528 | Steal Application Access Token |
Discovery | T1087 | Account Discovery |
Discovery | T1082 | System Information Discovery |
Discovery | T1083 | File and Directory Discovery |
Impact | T1486 | Data Encrypted for Impact |
Command and Control | T1071 | Application Layer Protocol |
Exfiltration | T1020 | Automated Exfiltration |
Indicators of Compromise (IoCs)
Files / hash SHA 256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 Malware
2.1 Phân tích mẫu mã độc của nhóm Mustang Panda
Tháng 11/2022, nhóm phân tích của Luck đã quan sát thấy hoạt động mới được cho là nhằm vào chính phủ Philippines có liên quan đến nhóm có trụ sở tại Trung Quốc Đại lục có tên là Mustang Panda. Cuộc tấn công đã sử dụng file nén được đặt tên dưới dạng tài liệu liên quan đến Tam giác an ninh Mỹ-Nhật Bản-Philippines: Tăng cường an ninh hàng hải, Triển vọng chiến lược chung và Hợp tác quốc phòng(Enhancing Maritime Security, Shared Strategic Outlooks, and Defense Cooperation)
File nén định dạng zip “Hợp tác ba bên PH-JP-US(11-07-2022).zip” chứa hai tệp, một là tệp hợp pháp được cung cấp bởi Microsoft (công cụ AccEvent) có tên “for PH-JP-US Trilateral Cooperation.exe”. Một tệp khác là DLL độc hại có tên có tên “EVENT.dll”, sử dụng kỹ thuật DLL sideloading để gọi tới DLL độc hại khi công cụ AccEvent khởi chạy.
Claim (message)
Mustang Panda thường nhúng các từ khóa hoặc thông báo vào binary. Các hàm MessageBox() và OutputDebugString() sẽ sử dụng để hiển thị nội dung các từ khóa hay thông báo này . Các từ khóa trong các samples tháng 8 và tháng 11 năm 2022 liên quan đến các cuộc bầu cử ở Mỹ.
Anti-debugging function
Khi mã động được thực thi, nó gọi các hàm IsDebuggerPresent() và CheckRemoteDebuggerPresent() nhằm kiểm tra xem nó có đang được phân tích bằng debugger hay các công cụ tương tự khác hay không với thời gian kiểm tra là 1s
Persistence function
Nhằm persistence trong hệ thống bị ảnh hưởng, mã độc sử dụng Task Scheduler và tiến trình registry key
Shellcode
Ở các samples cũ, shellcode sẽ được thực thi thông qua hàm CreateThread() nhưng trong các samples mới, hàm CryptEnumOIDInfo() được sử dụng để thực thi shellcode. Các samples khác sử dụng các hàm LineDDA(), GrayStringW() và EnumDateFormatsA() để thực thi shellcode
Shellcode sau khi thực thi có chức năng giống một downloader, tải xuống shellcode mới từ máy chủ C2 và thực thi nó. C2 được hardcoded trong binary
Quá trình giao tiếp với máy chủ C2 cũng đã được thay đổi ở các samples mới, thay vì giao tiếp thông qua TCP, các samples mới sử dụng HTTP POST
Dữ liệu trong POST requet sẽ được mã hóa sử dụng thuật toán RC4, với khóa là
“0x785a124d751414116c0271155a7305087014653b644222232000000000000000” (key này được sử dụng ở sample cũ)
Indicators of Compromise (IoCs)
Claimloader hash value (MD5)
10cd7afd580ee9c222b0a87ff241d306
694b7966a6919372ca0cf8cf49c867d9
11689d791ed4c36fdc62b3d1bcf085b1
6391ab75ac20f2f59179092446ed5052
27ebc3afcca85151326c4428e795d21d
268d61837aa248c1d49a973612a129ce
a84958c32cd9884a052be62bdbe929cf
f826e9e84b5690725b5f5a0cd12ed125
4a2992b4c7a1573bf7c74065e3bf5b0d
e7d91f187ff9037d52458e2085929409
793d0e610ecac2da4a8b07ff2ff306ac
f6aa6056a4c26ab02494dfaa7e362219
8f539d19929fdaa145edd8f7536ec9c9
d78e0a4a691077a29e62d767730b42bf
Archive file hash value (MD5)
d1ec01ff605a64ab8c12e2f3ca2414a4
69b40a4dbca10fe6b6353f3553785080
19f22b4c9add7d91a18b2e3de76757a3
a0e268be651237d247b00de5054d46ef
ae358c1915e794671a1d710d9359146d
fcd6691fc59610a50740a170a8a5a76f
a1c010659ea4b06461d5a99d16a91f24
951233cbe6bb02b548daf71cc53f7896
b9327186666fd00ae01bc776006b85ae
Communication destination
103.15.28[.]208
103.15.29[.]179
158.255.2[.]63
202.53.148[.]24
202.58.105[.]38
89.38.225[.]151
103.15.28[.]208
103.15.29[.]179
158.255.2[.]63
202.53.148[.]24
202.58.105[.]38
89.38.225[.]151
Nguồn tham khảo: https://www.lac.co.jp/lacwatch/report/20221117_003189.html
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – November 2022
Trong tháng 11, Microsoft đã phát hành các bản vá cho 64 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure và Azure Real Time Operating System; Microsoft Dynamics; Exchange Server; Office và Office Components; SysInternals; Visual Studio; SharePoint Server; Network Policy Server (NPS); Windows BitLocker; Linux Kernel và Open Source Software. Trong đó có 11 lỗ hổng được đánh giá mức độ Nghiêm trọng, 53 lỗ hổng được đánh giá là Improtant
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2022-41028 – Microsoft Exchange Server Remote Code Execution Vulnerability
CVSS v3: 8.8/10
Mô tả: Lỗ hổng được đánh giá mức độ Critical, cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng. Microsoft ghi nhận lỗ hổng được các nhóm tấn công sử dụng
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Microsoft Exchange Server 2019 Cumulative Update 11
Microsoft Exchange Server 2016 Cumulative Update 22
Microsoft Exchange Server 2013 Cumulative Update 23
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
3.1.2 CVE-2022- 41040 – Microsoft Exchange Server Elevation of Privilege Vulnerability
CVSS v3: 8.8/10
Mô tả: Lỗ hổng được đánh giá mức độ Critical, cho phép kẻ tấn công lợi dụng để truy cập tới các backend của Exchange Server. Microsoft ghi nhận lỗ hổng được các nhóm tấn công sử dụng
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Microsoft Exchange Server 2019 Cumulative Update 11
Microsoft Exchange Server 2016 Cumulative Update 22
Microsoft Exchange Server 2013 Cumulative Update 23
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
3.1.3 CVE-2022- 41128 – Windows Scripting Languages Remote Code Execution Vulnerability
CVSS v3: 8.8/10
Mô tả:
Phiên bản ảnh hưởng:
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128
3.1.4 CVE-2022- 41073 – Windows Print Spooler Elevation of Privilege Vulnerability
CVSS v3: 7.8/10
Mô tả: Lỗ hổng được đánh giá mức độ Improtant, cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Datacenter: Azure Edition (Hotpatch)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41073
3.1.5 CVE-2022- 41120 – Microsoft Windows Sysmon Elevation of Privilege Vulnerability
CVSS v3: 7.8/10
Mô tả: Lỗ hổng được đánh giá mức độ Improtant, cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM trên hệ thống cấu hình sysmon. Hiện tại, Microsoft đã phát hành bản cập nhật Sysmon v14.11, tuy nhiên bản cập nhật này được cho là vẫn chưa vá triệt để lỗ hổng
Phiên bản ảnh hưởng:
Sysmon v14.11 và Sysmonv14.12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41120
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2022- 41800 – Appliance mode iControl REST vulnerability
CVSS v3: 8.7/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa thông qua RPM spec, lỗ hổng yêu cầu xác thực
Phiên bản ảnh hưởng:
BIG-IP (tất cả các modules) phiên bản 17.0.0, 16.1.0-16.1.3,15.1.0-15.1.8, 14.1.0 – 14.1.5, 13.1.0 – 13.1.5
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.f5.com/csp/article/K13325942
3.2.2 CVE-2022 -41622 – iControl SOAP vulnerability
CVSS v3: 8.8/10
Mô tả: Tồn tại lỗ hổng CSRF thông qua iControl SOAP
Phiên bản ảnh hưởng:
BIG-IP (tất cả các modules) phiên bản 17.0.0, 16.1.0-16.1.3,15.1.0-15.1.8, 14.1.0 – 14.1.5, 13.1.0 – 13.1.5
BIG-IQ Centralized Management phiên bản 8.0.0-8.2.0, 7.1.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.f5.com/csp/article/K94221585