Hàng loạt lỗ hổng bảo mật trong Windows và Office được Microsoft khắc phục

Bản cập nhật bảo mật tháng 11 của Microsoft đã được phát hành giải quyết 89 lỗ hổng bảo mật trên Windows và các ứng dụng, dịch vụ khác của Microsoft. Trong đó có 6 lỗ hổng zero-day trên Windows, 4 lỗ hổng được xếp loại “nguy hiểm” và hầu hết các lỗ hổng còn lại được đánh giá là “nguy cơ cao”.

Theo Microsoft, hai trong số các lỗ hổng Windows đã bị khai thác. Tính đến thời điểm hiện tại, chưa tính tháng 12, năm 2024 đã trở thành năm có số lượng lỗ hổng được vá đứng thứ hai.

Mặc dù Microsoft không cung cấp chi tiết về các lỗ hổng này trong hướng dẫn cập nhật bảo mật, Dustin Childs đã phân tích rõ ràng hơn trên blog Zero Day Initiative, đặc biệt hữu ích cho các quản trị viên quản lý mạng doanh nghiệp.

Ngoài ra, Microsoft cũng đã phát hành phiên bản mới của công cụ loại bỏ phần mềm độc hại Windows, giúp người dùng tìm và khắc phục các mối đe dọa phần mềm độc hại trên hệ thống.

Các lỗ hổng bảo mật Windows đã được cập nhật

Phần lớn các lỗ hổng được vá – 37 lỗ hổng – ảnh hưởng đến các phiên bản Windows khác nhau, bao gồm Windows 10, Windows 11 và Windows Server.

Lưu ý rằng Windows 10 sẽ ngừng được hỗ trợ vào năm sau, vì vậy người dùng nên nâng cấp lên Windows 11 nếu có thể. Tuy nhiên, bản cập nhật Windows 11 24H2 hiện đang gặp một số vấn đề, nên tốt nhất nên tiếp tục sử dụng phiên bản 23H2.

Các lỗ hổng bảo mật nghiêm trọng trên Windows

Microsoft xác nhận hai lỗ hổng bảo mật Windows đang bị khai thác: CVE-2024-43451 là lỗ hổng giả mạo trong nền tảng MSHTML cũ cho phép kẻ tấn công đăng nhập với tư cách người dùng, và CVE-2024-49039 cho phép mã độc thoát khỏi vùng chứa ứng dụng và gây ra thiệt hại (ít nhất là ở mức độ hạn chế). Khi kết hợp với các lỗ hổng khác cho phép cấp quyền cao hơn, cuộc tấn công có thể gây ra hậu quả nghiêm trọng hơn.

Microsoft xếp hạng lỗ hổng RCE (thực thi  mã từ xa) CVE-2024-43639 trong giao thức Kerberos là nghiêm trọng, vì kẻ tấn công có thể thực thi mã từ xa mà không cần tương tác của người dùng. Do Kerberos chạy với quyền ủy quyền cao, lỗi này có thể lây lan (mã độc có thể di chuyển từ máy chủ này sang máy chủ khác trong mạng).

Lỗ hổng RCE CVE-2024-43498 trong .NET và Visual Studio, cũng được xếp hạng nghiêm trọng, cho phép kẻ tấn công gửi yêu cầu đặc biệt đến ứng dụng web .NET dễ bị tấn công để chèn và thực thi mã.

Dịch vụ điện thoại Windows có 7 lỗ hổng đã được Microsoft vá, trong đó có 6 lỗ hổng RCE và 1 lỗ hổng EoP (nâng cao đặc quyền) có thể cấp cho kẻ tấn công quyền cao hơn.

Các lỗ hổng bảo mật Office đã được cập nhật

Microsoft đã khắc phục 8 lỗ hổng trên các sản phẩm Office, bao gồm 7 lỗ hổng RCE (5 lỗ hổng trong Excel). Lỗ hổng thứ tám là lỗ hổng SFB (vượt qua tính năng bảo mật) ảnh hưởng đến Word, cho phép vượt qua chế độ xem Office được bảo vệ bằng tài liệu Word đặc biệt.

Các lỗ hổng bảo mật SQL Server đã được cập nhật. SQL Server chiếm hơn một phần ba số lượng lỗ hổng được vá trong tháng 11, bao gồm 31 lỗ hổng RCE được xếp loại nguy cơ cao.

Trong hầu hết các trường hợp, kẻ tấn công cần kết nối hệ thống dễ bị tấn công với cơ sở dữ liệu đã được chuẩn bị, điều này khó xảy ra. Tuy nhiên, với CVE-2024-49043, người dùng nên đọc báo cáo bảo mật vì cần cập nhật trình điều khiển OLE DB và có thể cần cập nhật từ các nhà cung cấp bên thứ ba.