Microsoft vá 169 lỗ hổng nguy hiểm, bao gồm SharePoint zero-day đang tấn công

Trong bản cập nhật Patch Tuesday tháng này, Microsoft đã thiết lập một kỷ lục mới khi phát hành các bản vá để khắc phục tới 169 lỗ hổng bảo mật trên toàn bộ hệ sinh thái sản phẩm của hãng. Điều đáng lo ngại nhất là một trong số các lỗ hổng này đã bị tin tặc khai thác tích cực trong thực tế. Con số 169 lỗ hổng này vượt xa mức trung bình thông thường và cho thấy tình trạng bảo mật đang trở nên phức tạp hơn bao giờ hết.

Chi tiết sự việc

Trong số 169 lỗ hổng được Microsoft công bố, có một lỗ hổng zero-day trên SharePoint đặc biệt nguy hiểm do đã bị kẻ tấn công phát hiện và lợi dụng trước khi có bản vá chính thức. Lỗ hổng này cho phép kẻ tấn công có thể thực hiện các cuộc tấn công nghiêm trọng vào hệ thống SharePoint của các tổ chức. Microsoft chưa tiết lộ chi tiết cụ thể về cách thức khai thác để tránh việc lỗ hổng bị lạm dụng rộng rãi trước khi người dùng kịp cập nhật.

Bên cạnh lỗ hổng zero-day, Microsoft cũng vá 168 lỗ hổng khác trên các sản phẩm như Windows, Office, Exchange Server và các dịch vụ đám mây Azure. Các lỗ hổng này được phát hiện thông qua chương trình bug bounty của Microsoft và các nghiên cứu bảo mật độc lập. Việc có tới gần 170 lỗ hổng trong một tháng cho thấy độ phức tạp ngày càng tăng của các hệ thống phần mềm hiện đại.

Mức độ nghiêm trọng

Theo phân loại của Microsoft, trong số 169 lỗ hổng này có 8 lỗ hổng được xếp loại Critical (Nghiêm trọng), 157 lỗ hổng ở mức Important (Quan trọng), 3 lỗ hổng mức Moderate (Trung bình) và 1 lỗ hổng mức Low (Thấp). Các lỗ hổng Critical có thể cho phép kẻ tấn công thực hiện mã từ xa, chiếm quyền điều khiển hệ thống hoặc leo thang đặc quyền mà không cần tương tác từ người dùng. Đây là những lỗ hổng có thể gây ra thiệt hại nghiêm trọng nhất cho các tổ chức.

Đặc biệt, có tới 93 lỗ hổng trong số này có thể bị khai thác để thực thi mã từ xa (Remote Code Execution), cho phép tin tặc kiểm soát hoàn toàn máy tính hoặc máy chủ của nạn nhân. Điều này có nghĩa là kẻ tấn công có thể cài đặt phần mềm độc hại, đánh cắp dữ liệu nhạy cảm hoặc sử dụng hệ thống bị xâm nhập làm bàn đạp cho các cuộc tấn công tiếp theo vào mạng nội bộ của tổ chức.

Phân tích kỹ thuật

Lỗ hổng zero-day trên SharePoint thuộc loại cho phép thực thi mã từ xa, có nghĩa là kẻ tấn công có thể chạy các đoạn mã độc hại trên máy chủ SharePoint của nạn nhân mà không cần quyền truy cập vật lý. Điều này đặc biệt nguy hiểm đối với các doanh nghiệp sử dụng SharePoint để lưu trữ và chia sẻ tài liệu nội bộ quan trọng. Kẻ tấn công có thể lợi dụng lỗ hổng này để xâm nhập vào mạng doanh nghiệp, đánh cắp thông tin mật hoặc triển khai ransomware.

Các lỗ hổng khác trong bản cập nhật này cũng bao gồm những vấn đề bảo mật trong Windows Kernel, Microsoft Office, và các thành phần mạng. Nhiều lỗ hổng có thể được khai thác thông qua email chứa tệp đính kèm độc hại hoặc thông qua việc truy cập các trang web bị tấn công. Điều đáng chú ý là một số lỗ hổng không yêu cầu người dùng phải tương tác, nghĩa là chúng có thể được khai thác tự động chỉ bằng cách gửi các gói tin mạng đặc biệt.

Khuyến nghị bảo mật

Các chuyên gia bảo mật khuyến cáo tất cả người dùng và tổ chức cần ưu tiên cài đặt bản cập nhật này trong thời gian sớm nhất có thể, đặc biệt là đối với các hệ thống SharePoint đang vận hành. Ngoài việc cập nhật hệ điều hành, người dùng cũng cần đảm bảo các ứng dụng Microsoft Office, Exchange Server và các dịch vụ liên quan đều được cập nhật lên phiên bản mới nhất. Các tổ chức nên thực hiện kiểm tra bảo mật toàn diện sau khi cập nhật để đảm bảo không có dấu hiệu xâm nhập nào trước đây. Đồng thời, cần tăng cường giám sát hệ thống trong những ngày tới để phát hiện sớm các hoạt động bất thường.