THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 11 – 2022

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      Earth Longzhi: phân nhóm mới của APT41

Ngày 09/11, các nhà nghiên cứu của TrendMirco đã tiết lộ thông tin về các chiến dịch được triển khai bởi một phân nhóm mới của APT41, Eart Longzhi. Chiến dịch đầu tiên từ năm 2020 đến năm 2021, Earth Longzhi đã nhắm mục tiêu vào chính phủ, cơ sở hạ tầng và ngành y tế ở Đài Loan và lĩnh vực ngân hàng ở Trung Quốc. Chiến dịch thứ hai từ năm 2021 đến năm 2022, nhóm nhắm mục tiêu vào các nạn nhân nổi tiếng trong ngành quốc phòng, hàng không, bảo hiểm và phát triển đô thị ở Đài Loan, Trung Quốc, Thái Lan, Malaysia, Indonesia, Pakistan và Ukraine.

Cả hai chiến dịch đều sử dụng email lừa đảo để phân phối phần mềm độc hại của Earth Longhzhi. Kẻ tấn công nhúng phần mềm độc hại vào các tệp nén có mật khẩu hoặc chia sẻ liên kết để tải xuống phần mềm độc hại, dụ nạn nhân cung cấp thông tin. Khi mở liên kết, nạn nhân được chuyển hướng đến Google Drive lưu trữ trình tải Cobalt Strike.

Hình 1.1 Phát tán phần mềm độc hại qua email lừa đảo bằng tiếng Trung

 

Trong một số trường hợp, tẻ tấn công khai thác các ứng dụng công khai để triển khai và thực thi một trình tải xuống đơn giản để tải xuống shellcode và các công cụ hack.

Hình 1.2 Phát tán phần mềm độc hại thông qua khai thác các ứng dụng công khai

Nhóm Earth Longzhi cũng sử dụng nhiều loại trình tải Cobalt Strike tùy chỉnh khác nhau, nhóm nghiên cứu của TrendMirco gọi chúng là CroxLoader, BigpipeLoader, MultiPipeLoader và OutLoader.

Có 2 biến thể khác nhau của CroxLoader, biến thể đầu tiên giải mã tải trọng được nhúng và đưa tải trọng đã giải mã vào quy trình từ xa, biến thể thứ hai của CroxLoader mở tài liệu mồi nhử và chạy tải trọng đã giải mã trong memory.

Trong một trường hợp khác, kẻ tấn công tạo ra một tệp WTSAPI32.dll độc hại được thiết kế để tải bởi một ứng dụng hợp pháp “wusa.exe”. Thao tác này sẽ khởi chạy tệp BigpipeLoader được mã hóa (chrome.inf). Trình tải BigpipeLoader sử dụng thuật toán AES-128-CFB để giải mã tải trọng.

MultipipeLoader và OutLoader tương tự như CroxLoader và BigpipeLoader nhưng có một chút khác biệt về tính năng. MultipipeLoader sử dụng nhiều luồng để đọc/ghi tải trọng được mã hóa như BigpipeLoader, nhưng nó thực hiện quy trình giải mã tương tự như CroxLoader. Trong khi đó, OutLoader tải xuống tải trọng từ một máy chủ từ xa, nhưng chức năng khác của nó giống như BigpipeLoader.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566.001 Phishing: Spearphishing Attachment
Initial Access T1190 Exploit Public-Facing Application
Reconnaissance T1589.002 Gather Victim Identity Information: Email Addresses
Defense Evasion T1574.002 Hijack Execution Flow: DLL Side-Loading
Defense Evasion T1055 Process Injection
Defense Evasion T1211 Exploitation for Defense Evasion
Defense Evasion T1562.001 Impair Defenses: Disable or Modify Tools
Defense Evasion T1036.007 Masquerading: Double File Extension
Defense Evasion T1070.006 Indicator Removal: Timestomp
Persistence T1547.012 Boot or Logon Autostart Execution: Print Processors
Privilege Escalation T1068 Exploitation for Privilege Escalation
Credential Access T1555.003 Credentials from Password Stores: Credentials from Web Browsers
Credential Access T1003.001 OS Credential Dumping: LSASS Memory
Credential Access T1003.006 OS Credential Dumping: DCSync
Command and Control T1071.001 Web Protocols
Command and Control T1090.001 Proxy: Internal Proxy
Command and Control T1090.002 Proxy: External Proxy
Command and Control T1090.004 Proxy: Domain Fronting
Command and Control T1095 Non-Application Layer Protocol
Command and Control T1573.002 Encrypted Channel: Asymmetric Cryptography

 

Indicators of Compromise (IoCs)

Files / hash SHA 256

b6d2f4d9edd7b08c9841cca69c5cb6b312fa9ad1c19a447a26e915e1fd736e09

8478718e0bad7fde34f623794e966f662aaf2d7a21d365b45db80b2a0349ed8a

4b1b1a1293ccd2c0fd51075de9376ebb55ab64972da785153fcb0a4eb523a5eb

c80289a1f293dceb71230cf0dbd0a45b9444519b1367a5ba04e990ea6acf6503

30b64628aae642380147c7671ea8f864b13c2d2affaaea34c4c9512c8a779225

03795a683bf3eb9ed7673522fe7eac45949a824da8043236cd504fd8106e3593

3ba81d78f3b764dc6e369f24196c41b4cba0764414ad85d42dae5a5f79e871e1

41bcdc3fc4c878fb34ebebeff6ff7d158be166d3fc220f3b90f225ae3757f2e8

8e2aac4e7776f66da785171baeee473e41cb88c60e535b80980d55ac7f873c5c

a0bde01e83ccc42c0729b813108dd3da96a9bc175b3ad53807387bbf84d58112

bd959353bc6c05b085fc37589ea2ccd2c91aaf05ec7cf1a487f5de7fa0abc962

25bfa492e295599fe30d9477ac72a4848c1ee2b71ff92ef7dcca90587c8d0945

eb8d11b63d20e3d1e164f0f25822d54a58742faa8d10ba120740e612607b5f6

947fdef565d889d3d919d8d81014d718f2d22ef3ed0049c98960f7330f51f41f

969ac3517ae9c472e436c547a6721f426a675ad8dece53c3f8e79ba44aa884eb

3de17542ca2ffefc9572cd2707a664999f157a0fed02ac4abdae5f805f6a77ac

86598469671d83cd5525a89e2d1ae83f1f9529420c3325a746d84acffeb876ec

1903cd46184aa2b70c74e2bdd47b7bedd2ae7175295d6c1dab904204dedbabca

5eb94c62e75a8a11b1220f3f716f90bee69010ce4ad61c463be6e66dcaf29379

883064cdeeddd5ccbfa74dacc1d8a8b5a0d2c9794c59acef186dd7105594fdcc

8d3216c2fdbec7fc7a9af4e2d142e021d37037a187739d5aab2fa0351e8f4ec7

31d71e04ca898cbdb45ffea1c4f45a953e0833964ad2d14c014616acb1666996

4a438626ac962db91cde46ee2c04c850b46262599bc535b4a08209661d5fb44d

4bc4d2ad9b608c8564eb5da5d764644cbb088c2f1cb61427d11f7b2ce4733add

76998c3cef50132d7eb091555b034b03a351bd8639c1c5dc05cf1ea6c19331d9

f8fa90be3e6295c275a4d23429e8738228b70693806ed9b2f482581487cb8e08

90a1e3ff729b7b91ca82e7981d2c65bf6c4b8fb2204bf9394d2072d9caa70126

C2 Domain / IP

47.108.173.88

www.affice366.com

www.vietsovspeedtest.com

c.ymvh8w5.xyz

139.180.138.226

Nguồn: https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html

1.2      Cranefly: các kỹ thuật và công cụ chưa từng thấy trước đây

Ngày 28/10, nhóm nghiên cứu của Symantec đã phát hiện ra một dropper mới đang được sử dụng để cài đặt một backdoor mới và các công cụ khác bằng cách sử dụng kỹ thuật đọc command mới từ nhật ký dịch vụ Internet Information Services (IIS). Dropper (Trojan.Geppei) đang được sử dụng bởi một mối đe dọa Symantec gọi là Cranefly để cài đặt một phần mềm độc hại mới (Trojan.Danfuan) và các công cụ khác.

Trojan.Geppei sử dụng PyInstaller để chuyển đổi tập lệnh Python thành tệp thực thi. Geppei đọc các lệnh từ nhật ký IIS hợp pháp. Nhật ký IIS dùng để ghi lại dữ liệu từ IIS, chẳng hạn như các trang web và ứng dụng. Những kẻ tấn công có thể gửi lệnh đến máy chủ web bị xâm nhập bằng cách ngụy trang chúng dưới dạng yêu cầu truy cập web. IIS ghi nhật ký chúng như bình thường nhưng Trojan.Geppei có thể đọc chúng dưới dạng lệnh.

Các lệnh được đọc bởi Geppei chứa các tệp .ashx được mã hóa độc hại. Các tệp này được lưu vào một thư mục tùy ý được xác định bởi tham số lệnh và chúng chạy dưới dạng backboor.

Các chuỗi Wrde, Exco và Cllo thường không xuất hiện trong tệp nhật ký IIS. Chúng dường như được Geppei sử dụng để phân tích cú pháp yêu cầu HTTP độc hại; sự hiện diện của các chuỗi này sẽ khiến dropper thực hiện hoạt động trên máy.

Những kẻ tấn công có thể sử dụng một URL giả hoặc thậm chí một URL không tồn tại để gửi các lệnh này vì IIS ghi nhật ký 404 trong cùng một tệp nhật ký theo mặc định.

Trojan.Danfuan là một phần mềm độc hại chưa từng thấy trước đây. Nó là một DynamicCodeCompiler biên dịch và thực thi mã C# nhận được. Nó dường như dựa trên công nghệ biên dịch động .NET. Loại mã được biên dịch động này không được tạo trên đĩa mà tồn tại trong bộ nhớ. Nó hoạt động như một backdoor trên các hệ thống bị nhiễm.

Việc sử dụng một kỹ thuật mới và các công cụ tùy chỉnh, cũng như các bước được thực hiện để che giấu dấu vết của hoạt động này trên các máy nạn nhân, cho thấy rằng Cranefly là một nhóm đe dọa khá lành nghề. Mặc dù không thấy dữ liệu bị lấy ra khỏi máy nạn nhân, nhưng các công cụ được triển khai và nỗ lực thực hiện để che giấu hoạt động này cho thấy động cơ rất có thể của nhóm này là thu thập thông tin tình báo.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Resource Development T1587.001 Develop Capabilities: Malware
Resource Development T1588.002 Obtain Capabilities: Tool
Execution T1059.006 Command and Scripting Interpreter: Python
Defense Evasion T1140 Deobfuscate/Decode Files or Information
Defense Evasion T1027.004 Obfuscated Files or Information: Compile After Delivery
Defense Evasion T1070.004 Indicator Removal: File Deletion

Indicators of Compromise (IoCs)

Files / hash SHA 256

12eaac1b8dc29ba29287e7e30c893017f82c6fadb73dbc8ef2fa6f5bd5d9d84e

981b28d7521c5b02f026cb1ba5289d61ae2c1bb31e8b256db21b5dcfb8837475

6dcfa79948cf90b10b05b59237cf46adb09b2ce53bc2c0d38fce875eccd3a7e1

0af8bf1fa14fe492de1cc870ac0e01fc8b2f6411de922712a206b905a10ee379

7d5018d823939a181a84e7449d1c50ac3eb94abf3585a2154693ef5180877b95

b5a4804cf7717fda1f01f23c1c2fe99fe9473b03f0247bcc6190f17d26856844

1975bea7ca167d84003b601f0dfb95c4b31a174ce5af0b19e563cb33cba22ffa

56243c851b13218d3031ca7e5af8f2b891e139cbd6d7e3f40508e857802a1077

0b8d024ec29619ff499e4b5024ff14451731a4e3155636a02ef5db2df0e0f0dd

0b168638224589937768eb15c9ebbe795d6539d1fbe744a8f065fedd569bfc5e

Nguồn: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cranefly-new-tools-technique-geppei-danfuan

1.3     AXLocker, Octocrypt và Alice: dẫn đầu làn sóng chiến dịch ransomware mới

Ngày 18/11, nhóm Cyble Research and Intelligence Labs (CRIL) đã theo dõi hoạt động của các nhóm ransomware mới đang phát triển gần đây. Dẫn đầu là  ba dòng ransomware mới: AXLocker, Octocrypt và Alice Ransomware.

AXLocker có khả năng mã hóa một số loại tệp và khiến chúng hoàn toàn không sử dụng được. Ngoài ra, ransomware đánh cắp Discord tokens từ máy của nạn nhân và gửi chúng đến máy chủ C&C. Sau đó, một ghi chú đòi tiền chuộc được hiển thị trên hệ thống của nạn nhân để lấy công cụ giải mã, khôi phục các tệp được mã hóa. AXLocker tìm kiếm các tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin cụ thể để mã hóa và loại trừ một số thư mục khỏi quá trình mã hóa, như trong hình sau:

AXLocker sử dụng thuật toán mã hóa AES để mã hóa các tệp. AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa

Sau khi mã hóa các tệp của nạn nhân, ransomware thu thập thông tin nhạy cảm như Tên máy tính, Tên người dùng, Địa chỉ IP của máy, UUID hệ thống và Discord tokens tại các thư mục:

  •          Discord\Local Storage\leveldb
  •          discordcanary\Local Storage\leveldb
  •          discordptb\leveldb
  •          Opera Software\Opera Stable\Local Storage\leveldb
  •          Google\Chrome\User Data\\Default\Local Storage\leveldb
  •          BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
  •          Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

sau đó gửi thông tin đến máy chủ Discord của kẻ tấn công:

  •         hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimbA7xriJVmtb14gUP3VCBBZ0AZR

Octocrypt là một chủng ransomware mới nhắm mục tiêu tất cả các phiên bản Windows. Ransomware được viết bằng Golang. Các kẻ tấn công đằng sau Octocrypt hoạt động theo mô hình kinh doanh Ransomware-as-a-Service (RaaS) và xuất hiện trên các diễn đàn tội phạm mạng vào khoảng tháng 10 năm 2022 với giá 400 USD.

Khi thực thi, Octocrypt sẽ kiểm tra đảm bảo kết nối internet của hệ thống, sau đó kiểm tra kết nối TCP để truy cập URL API.

Sau đó, Octocrypt bắt đầu quá trình mã hóa bằng cách liệt kê các thư mục và mã hóa các tệp của nạn nhân bằng thuật toán AES-256-CTR, thêm phần mở rộng là “.octo”.

Alice ransomware cũng đang được các kẻ tấn công giao bán theo mô hình kinh doanh Ransomware-as-a-Service (RaaS). Trình tạo Alice ransomware được giao bán công khai trên các diễn đàn tội phạm mạng

Trình tạo Alice ransomware cho phép các kẻ tấn công tạo các tệp nhị phân ransomware với ghi chú tiền chuộc tùy chỉnh. Sau khi nhập thông báo đòi tiền chuộc và nhấp vào nút “New Build” trong trình tạo, nó sẽ tạo ra hai tệp thực thi có tên “Encryptor.exe” và “Decryptor.exe”. Alice sẽ mã hóa các tệp của nạn nhân và thêm phần mở rộng là “.alice”.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Execution T1204 User Execution
Execution T1059 Command and Scripting Interpreter
Execution T1047 Windows Management Instrumentation
Persistence T1547.001 Registry Run Keys / Startup Folder
Persistence T1053 Scheduled Task/Job
Defense Evasion T1497 Virtualization/Sandbox Evasion
Credential Access T1528 Steal Application Access Token
Discovery T1087 Account Discovery
Discovery T1082 System Information Discovery
Discovery T1083 File and Directory Discovery
Impact T1486 Data Encrypted for Impact
Command and Control T1071 Application Layer Protocol
Exfiltration T1020 Automated Exfiltration

Indicators of Compromise (IoCs)

Files / hash SHA 256

d51297c4525a9ce3127500059de3596417d031916eb9a52b737a62fb159f61e0

0225a30270e5361e410453d4fb0501eb759612f6048ad43591b559d835720224

c8e3c547e22ae37f9eeb37a1efd28de2bae0bfae67ce3798da9592f8579d433c

9e95fcf79fac246ebb5ded254449126b7dd9ab7c26bc3238814eafb1b61ffd7a

d9793c24290599662adc4c9cba98a192207d9c5a18360f3a642bd9c07ef70d57

9a557b61005dded36d92a2f4dafdfe9da66506ed8e2af1c851db57d8914c4344

65ad38f05ec60cabdbac516d8b0e6447951a65ca698ca2046c50758c3fd0608b

e65e3dd30f250fb1d67edaa36bde0fda7ba3f2d36f4628f77dc9c4e766ee8b32

Nguồn: https://blog.cyble.com/2022/11/18/axlocker-octocrypt-and-alice-leading-a-new-wave-of-ransomware-campaigns/

2     Malware

2.1     Phân tích mẫu mã độc của nhóm Mustang Panda

Tháng 11/2022, nhóm phân tích của Luck đã quan sát thấy hoạt động mới được cho là nhằm vào chính phủ Philippines có liên quan đến nhóm có trụ sở tại Trung Quốc Đại lục có tên là Mustang Panda. Cuộc tấn công đã sử dụng file nén được đặt tên dưới dạng tài liệu liên quan đến Tam giác an ninh Mỹ-Nhật Bản-Philippines: Tăng cường an ninh hàng hải, Triển vọng chiến lược chung và Hợp tác quốc phòng(Enhancing Maritime Security, Shared Strategic Outlooks, and Defense Cooperation)

File nén định dạng zip “Hợp tác ba bên PH-JP-US(11-07-2022).zip” chứa hai tệp, một là tệp hợp pháp được cung cấp bởi Microsoft (công cụ AccEvent) có tên “for PH-JP-US Trilateral Cooperation.exe”. Một tệp khác là DLL độc hại có tên có tên “EVENT.dll”, sử dụng kỹ thuật DLL sideloading để gọi tới DLL độc hại khi công cụ AccEvent khởi chạy.

Claim (message)

Mustang Panda thường nhúng các từ khóa hoặc thông báo vào binary. Các hàm MessageBox() và OutputDebugString() sẽ sử dụng để hiển thị nội dung các từ khóa hay thông báo này . Các từ khóa trong các samples tháng 8 và tháng 11 năm 2022 liên quan đến các cuộc bầu cử ở Mỹ.

Anti-debugging function

Khi mã động được thực thi, nó gọi các hàm IsDebuggerPresent() và CheckRemoteDebuggerPresent() nhằm kiểm tra xem nó có đang được phân tích bằng debugger hay các công cụ tương tự khác hay không với thời gian kiểm tra là 1s

Persistence function

Nhằm persistence trong hệ thống bị ảnh hưởng, mã độc sử dụng Task Scheduler và tiến trình registry key

Shellcode

Ở các samples cũ, shellcode sẽ được thực thi thông qua hàm CreateThread() nhưng trong các samples mới, hàm CryptEnumOIDInfo() được sử dụng để thực thi shellcode. Các samples khác sử dụng các hàm LineDDA(), GrayStringW() và EnumDateFormatsA() để thực thi shellcode

Shellcode sau khi thực thi có chức năng giống một downloader, tải xuống shellcode mới từ máy chủ C2 và thực thi nó. C2 được hardcoded trong binary

Quá trình giao tiếp với máy chủ C2 cũng đã được thay đổi ở các samples mới, thay vì giao tiếp thông qua TCP, các samples mới sử dụng HTTP POST

Dữ liệu trong POST requet sẽ được mã hóa sử dụng thuật toán RC4, với khóa là

“0x785a124d751414116c0271155a7305087014653b644222232000000000000000” (key này được sử dụng ở sample cũ)

Indicators of Compromise (IoCs)

Claimloader hash value (MD5)

10cd7afd580ee9c222b0a87ff241d306

694b7966a6919372ca0cf8cf49c867d9

11689d791ed4c36fdc62b3d1bcf085b1

6391ab75ac20f2f59179092446ed5052

27ebc3afcca85151326c4428e795d21d

268d61837aa248c1d49a973612a129ce

a84958c32cd9884a052be62bdbe929cf

f826e9e84b5690725b5f5a0cd12ed125

4a2992b4c7a1573bf7c74065e3bf5b0d

e7d91f187ff9037d52458e2085929409

793d0e610ecac2da4a8b07ff2ff306ac

f6aa6056a4c26ab02494dfaa7e362219

8f539d19929fdaa145edd8f7536ec9c9

d78e0a4a691077a29e62d767730b42bf

Archive file hash value (MD5)

d1ec01ff605a64ab8c12e2f3ca2414a4

69b40a4dbca10fe6b6353f3553785080

19f22b4c9add7d91a18b2e3de76757a3

a0e268be651237d247b00de5054d46ef

ae358c1915e794671a1d710d9359146d

fcd6691fc59610a50740a170a8a5a76f

a1c010659ea4b06461d5a99d16a91f24

951233cbe6bb02b548daf71cc53f7896

b9327186666fd00ae01bc776006b85ae

Communication destination

103.15.28[.]208

103.15.29[.]179

158.255.2[.]63

202.53.148[.]24

202.58.105[.]38

89.38.225[.]151

103.15.28[.]208

103.15.29[.]179

158.255.2[.]63

202.53.148[.]24

202.58.105[.]38

89.38.225[.]151

Nguồn tham khảo: https://www.lac.co.jp/lacwatch/report/20221117_003189.html

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – November 2022

Trong tháng 11, Microsoft đã phát hành các bản vá cho 64 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure và Azure Real Time Operating System; Microsoft Dynamics; Exchange Server; Office và Office Components; SysInternals; Visual Studio; SharePoint Server; Network Policy Server (NPS); Windows BitLocker; Linux Kernel và Open Source Software. Trong đó có 11 lỗ hổng được đánh giá mức độ Nghiêm trọng, 53 lỗ hổng được đánh giá là Improtant

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:

3.1.1     CVE-2022-41028 – Microsoft Exchange Server Remote Code Execution Vulnerability

CVSS v3: 8.8/10

Mô tả: Lỗ hổng được đánh giá mức độ Critical, cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng. Microsoft ghi nhận lỗ hổng được các nhóm tấn công sử dụng

Phiên bản ảnh hưởng:

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2016 Cumulative Update 22

Microsoft Exchange Server 2013 Cumulative Update 23

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

3.1.2    CVE-2022- 41040 – Microsoft Exchange Server Elevation of Privilege Vulnerability

CVSS v3: 8.8/10

Mô tả: Lỗ hổng được đánh giá mức độ Critical, cho phép kẻ tấn công lợi dụng để truy cập tới các backend của Exchange Server. Microsoft ghi nhận lỗ hổng được các nhóm tấn công sử dụng

Phiên bản ảnh hưởng:

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2016 Cumulative Update 22

Microsoft Exchange Server 2013 Cumulative Update 23

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

3.1.3    CVE-2022- 41128 – Windows Scripting Languages Remote Code Execution Vulnerability

CVSS v3: 8.8/10

Mô tả:

Phiên bản ảnh hưởng:

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128

3.1.4   CVE-2022- 41073 – Windows Print Spooler Elevation of Privilege Vulnerability

CVSS v3: 7.8/10

Mô tả: Lỗ hổng được đánh giá mức độ Improtant, cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Datacenter: Azure Edition (Hotpatch)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41073

3.1.5    CVE-2022- 41120 – Microsoft Windows Sysmon Elevation of Privilege Vulnerability

CVSS v3: 7.8/10

Mô tả: Lỗ hổng được đánh giá mức độ Improtant, cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM trên hệ thống cấu hình sysmon. Hiện tại, Microsoft đã phát hành bản cập nhật Sysmon v14.11, tuy nhiên bản cập nhật này được cho là vẫn chưa vá triệt để lỗ hổng

Phiên bản ảnh hưởng:

Sysmon v14.11 và Sysmonv14.12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41120

3.2   Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1    CVE-2022- 41800 – Appliance mode iControl REST vulnerability

CVSS v3: 8.7/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa thông qua RPM spec, lỗ hổng yêu cầu xác thực

Phiên bản ảnh hưởng:

BIG-IP (tất cả các modules) phiên bản 17.0.0, 16.1.0-16.1.3,15.1.0-15.1.8, 14.1.0 – 14.1.5, 13.1.0 – 13.1.5

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.f5.com/csp/article/K13325942

3.2.2   CVE-2022 -41622 – iControl SOAP vulnerability

CVSS v3: 8.8/10

Mô tả: Tồn tại lỗ hổng CSRF thông qua iControl SOAP

Phiên bản ảnh hưởng:

BIG-IP (tất cả các modules) phiên bản 17.0.0, 16.1.0-16.1.3,15.1.0-15.1.8, 14.1.0 – 14.1.5, 13.1.0 – 13.1.5

BIG-IQ Centralized Management phiên bản 8.0.0-8.2.0, 7.1.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.f5.com/csp/article/K94221585