Microsoft đã công bố danh sách bản vá tháng 9/2023 đối với 59 lỗ hổng an toàn thông tin trong các sản phẩm của hãng.
Sau khi nghiên cứu, Cục An toàn thông tin, Bộ TT&TT đã đưa ra cảnh báo tới các cơ quan, tổ chức, doanh nghiệp về 12 lỗ hổng an toàn thông tin tồn tại ở các sản phẩm của Microsoft công bố tháng 9/2023 này.
Trong số đó có 2 lỗ hổng đang bị tin tặc khai thác trong thực tế. Đó là lỗ hổng CVE-2023-36761 trong Microsoft Word cho phép đối tượng tấn công thu thập thông tin về mã băm NTLM của người dùng. Lỗ hổng thứ 2 là CVE-2023-36802 tồn tại trong Streaming Service Proxy cho phép đối tượng thực hiện tấn công leo thang đặc quyền.
Lỗ hổng CVE-2023-29332 tồn tại trong dịch vụ Microsoft Azure Kubernetes Service, nếu khai thác thành công kẻ xấu có thể tấn công không cần xác thực để thực hiện tấn công leo thang đặc quyền.
Lỗ hổng CVE-2023-38148 xuất hiện trong Internet Connection Sharing (ICS) cho phép kẻ xấu thực thi mã từ xa khi ICS được kích hoạt mà không cần xác thực.
8 lỗ hổng tiếp có thể bị lợi dụng để tấn công mạng vào hệ thống tại Việt Namtheo gồm:
- CVE-2023-38146 trong Windows Themes;
- CVE-2023-36792, CVE-2023-36793, CVE-2023-36794 và CVE-2023-36796 trong Visual Studio;
- CVE-2023-36744, CVE-2023-36745 và CVE-2023-36756 trong Microsoft Exchange Server.
Cục An toàn thông tin khuyến nghị các cơ quan, tổ chức, doanh nghiệp kiểm tra, rà soát, xác định thiết bị có khả năng bị ảnh hưởng bởi 12 lỗ hổng nêu trên để đảm bảo an toàn cho hệ thống thông tin của đơn vị. Nếu phát hiện thiết bị bị ảnh hưởng, cần cập nhật bản vá ngay.
Để lại một bình luận