Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng
Thứ tư - 20/03/2024 18:12
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
Lỗ hổng bảo mật có mã định danh là CVE-2023-29360, cho phép kẻ tấn công giành được đặc quyền hệ thống mà không yêu cầu tương tác của người dùng.
Lỗ hổng CVE-2023-29360 trước đó đã được chuyên gia bảo mật Thomas Imbert của công ty bảo mật Synactiv (Pháp) phát hiện có trong MSKSSRV.SYS và đã báo cáo cho Microsoft thông qua chương trình Sáng kiến Zero Day của Trend Micro. Redmond đã vá lỗi này vào tháng 6/2023 và đã chứng minh cũng như đánh giá tính khả thi được xuất bản trên GitHub vào ngày 24/9/2023.
CISA không cung cấp thông tin chi tiết về các cuộc tấn công đang diễn ra, nhưng họ xác nhận rằng không có bằng chứng nào cho thấy lỗ hổng này được sử dụng trong các cuộc tấn công mã độc tống tiền.
CISA cũng đã thêm lỗi này vào danh mục các lỗ hổng bị khai thác đã biết và cảnh báo rằng các lỗi bảo mật như vậy là “các vectơ tấn công thường xuyên cho các tác nhân mạng độc hại gây ra rủi ro đáng kể cho doanh nghiệp liên bang”. Theo quy định của Chỉ thị hoạt động ràng buộc (BOD 22-01) được ban hành vào tháng 11/2021, các cơ quan liên bang phải vá lỗi bảo mật này cho hệ thống Windows của họ trong vòng ba tuần, tức là trước ngày 21/3.
Mặc dù danh mục các lỗ hổng khai thác đã biết của CISA chủ yếu tập trung vào việc cảnh báo các cơ quan liên bang về các lỗi bảo mật cần được giải quyết càng sớm càng tốt, các tổ chức tư nhân trên toàn thế giới cũng được khuyên nên ưu tiên vá lỗ hổng này để ngăn chặn các cuộc tấn công đang diễn ra.
Bị khai thác trong các cuộc tấn công phần mềm độc hại kể từ tháng 8
Công ty an ninh mạng Hoa Kỳ - Israel là Check Point đã cung cấp thêm thông tin về lỗ hổng này và cho biết các cuộc tấn công bằng phần mềm độc hại Raspberry Robin đã khai thác CVE-2023-29360 kể từ tháng 8/2023.
Check Point cho biết: “Sau khi xem xét các mẫu Raspberry Robin trước tháng 10, chúng tôi phát hiện ra rằng nó cũng sử dụng lỗ hổng CVE-2023-29360. Lỗ hổng này đã được tiết lộ công khai vào tháng 6 và được Raspberry Robin sử dụng vào tháng 8”.
Raspberry Robin là một phần mềm độc hại xuất hiện vào tháng 9/2021 và có khả năng lây lan qua ổ USB. Mặc dù chưa rõ người tạo ra nó nhưng nó đã được liên kết với nhiều nhóm tội phạm mạng, bao gồm Evil Corp và nhóm tin tặc Evil Corp.
Microsoft cho biết vào tháng 7/2022 rằng họ đã phát hiện phần mềm độc hại Raspberry Robin trên mạng của hàng trăm tổ chức thuộc nhiều lĩnh vực công nghiệp khác nhau. Kể từ khi được phát hiện, phần mềm này đã liên tục phát triển, áp dụng các chiến thuật phân phối và bổ sung các tính năng mới.
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
Lỗ hổng bảo mật có mã định danh là CVE-2023-29360, cho phép kẻ tấn công giành được đặc quyền hệ thống mà không yêu cầu tương tác của người dùng.
Lỗ hổng CVE-2023-29360 trước đó đã được chuyên gia bảo mật Thomas Imbert của công ty bảo mật Synactiv (Pháp) phát hiện có trong MSKSSRV.SYS và đã báo cáo cho Microsoft thông qua chương trình Sáng kiến Zero Day của Trend Micro. Redmond đã vá lỗi này vào tháng 6/2023 và đã chứng minh cũng như đánh giá tính khả thi được xuất bản trên GitHub vào ngày 24/9/2023.
CISA không cung cấp thông tin chi tiết về các cuộc tấn công đang diễn ra, nhưng họ xác nhận rằng không có bằng chứng nào cho thấy lỗ hổng này được sử dụng trong các cuộc tấn công mã độc tống tiền.
CISA cũng đã thêm lỗi này vào danh mục các lỗ hổng bị khai thác đã biết và cảnh báo rằng các lỗi bảo mật như vậy là “các vectơ tấn công thường xuyên cho các tác nhân mạng độc hại gây ra rủi ro đáng kể cho doanh nghiệp liên bang”. Theo quy định của Chỉ thị hoạt động ràng buộc (BOD 22-01) được ban hành vào tháng 11/2021, các cơ quan liên bang phải vá lỗi bảo mật này cho hệ thống Windows của họ trong vòng ba tuần, tức là trước ngày 21/3.
Mặc dù danh mục các lỗ hổng khai thác đã biết của CISA chủ yếu tập trung vào việc cảnh báo các cơ quan liên bang về các lỗi bảo mật cần được giải quyết càng sớm càng tốt, các tổ chức tư nhân trên toàn thế giới cũng được khuyên nên ưu tiên vá lỗ hổng này để ngăn chặn các cuộc tấn công đang diễn ra.
Bị khai thác trong các cuộc tấn công phần mềm độc hại kể từ tháng 8
Công ty an ninh mạng Hoa Kỳ - Israel là Check Point đã cung cấp thêm thông tin về lỗ hổng này và cho biết các cuộc tấn công bằng phần mềm độc hại Raspberry Robin đã khai thác CVE-2023-29360 kể từ tháng 8/2023.
Check Point cho biết: “Sau khi xem xét các mẫu Raspberry Robin trước tháng 10, chúng tôi phát hiện ra rằng nó cũng sử dụng lỗ hổng CVE-2023-29360. Lỗ hổng này đã được tiết lộ công khai vào tháng 6 và được Raspberry Robin sử dụng vào tháng 8”.
Raspberry Robin là một phần mềm độc hại xuất hiện vào tháng 9/2021 và có khả năng lây lan qua ổ USB. Mặc dù chưa rõ người tạo ra nó nhưng nó đã được liên kết với nhiều nhóm tội phạm mạng, bao gồm Evil Corp và nhóm tin tặc Evil Corp.
Microsoft cho biết vào tháng 7/2022 rằng họ đã phát hiện phần mềm độc hại Raspberry Robin trên mạng của hàng trăm tổ chức thuộc nhiều lĩnh vực công nghiệp khác nhau. Kể từ khi được phát hiện, phần mềm này đã liên tục phát triển, áp dụng các chiến thuật phân phối và bổ sung các tính năng mới.
Tác giả bài viết: Quốc An
Nguồn tin: m.antoanthongtin.gov.vn