Thông tin các lỗ hổng nghiêm trọng trong các sản phẩm Microsoft công bố tháng 02/2022

1.Thông tin lỗ hổng bảo mật

- Mô tả:

+ Lỗ hổng bảo mật CVE-2022-22005 trong Sharepoint Server 2013-2019 cho phép đối tượng tấn công thực thi mã từ xa với tài khoản xác thực hợp lệ.

+ Lỗ hổng bảo mật CVE-2022-21989 trong Windows Kernel cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền

+ Lỗ hổng bảo mật CVE-2022-21984 trong DNS Server cho phép đối tượng tấn công thực thi mã từ xa

+ Lỗ hổng bảo mật CVE-2022-21995 trong Windows Hyper-V cho phép đối tượng tấn công đã xác thực trên máy khách Hyper-V có thể thực thi mã từ xa trên máy chủ Hyper-V.

+ 02 lỗ hổng bảo mật CVE-2022-22718, CVE-2022-21999 trong Windows Print Spooler cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền.

+ 02 lỗ hổng bảo mật CVE-2022-22000, CVE-2022-21981 trong Windows Common Log File System Driver cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền.

+ Lỗ hổng bảo mật CVE-2022-21996 trong Windows32k cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền.

+ Lỗ hổng bảo mật CVE-2022-22715 trong Named Pipe File System cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền.

- Ảnh hưởng:

- Đánh giá mức độ: Đánh giá sơ bộ từ các chuyên gia bảo mật, lỗ hổng này ảnh hưởng đến nhiều thiết bị trên toàn cầu trong đó có cả Việt Nam. Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) đánh giá khả năng các mã khai thác của các lỗ hổng này sẽ sớm được công khai trên Internet trong thời gian sắp tới.

2. Hướng dẫn khắc phục:

Biện pháp tốt nhất để khắc phục là cập nhật bản vá cho các lỗ hổng bảo mật nói trên theo hướng dẫn của hãng. Quý đơn vị tham khảo các bản cập nhật phù hợp cho các sản phẩm đang sử dụng tại link nguồn tham khảo tại mục 1 của phụ lục

1. Nguồn tham khảo:

https://msrc.microsoft.com/update-guide/
https://www.zerodayinitiative.com/blog/2022/2/8/the-february-2022-security-update-review/

PHỤ LỤC II

Thông tin lỗ hổng bảo mật CVE-2021-4034 ảnh hưởng

nghiêm trọng đến hệ điều hành Linux.

1. Thông tin lỗ hổng bảo mật

- CVSS: 7.8 (cao)
- Mô tả: Lỗ hổng tồn tại trong pkexec của polkit, cho phép đối tượng tấn
công thực hiện tấn công leo thang đặc quyền với một tài khoản người dùng bất kỳ.
- Ảnh hưởng: Red Hat Enterprise Linux 6/7/8, Red Hat Virtualization 4,
các cấu hình mặc định trên Ubuntu, Debian, Fedora và CentOS,….

2. Hướng dẫn khắc phục

Biện pháp tốt nhất để khắc phục là cập nhật bản vá cho lỗ hổng bảo mật nói trên. Tuy nhiên trong trường hợp chưa thể cập nhật, Quý đơn vị có thể thực hiện các bước khắc phục thay thế như sau:

Đối với hệ điều hành Red Hat
Bước 1: Cài đặt required systemtap packages và dependencies https://access.redhat.com/solutions/5441.
Bước 2: Cài đặt thông tin gỡ lỗi polkit

Bước 3: Tạo script systemtap và đặt tên là pkexec-block.stp

Bước 4: Tải systemtap module vào kernel đang chạy

Bước 5: Kiểm tra đảm bảo module đã được tải vào kernel

Bước 6: Sau khi polkit package đã được cập nhật lên phiên bản đã có chứa bản vá, systemtap generated kernel module có thể xóa bằng cách chạy

Lưu ý: Các bước giảm thiểu này không được áp dụng đối với hệ thống có
sử dụng Secure Boot.

Đối với các bản phân phối Linux khác
Có thể thực hiện bằng cách bỏ quyền suid với /usr/bin/pkexec bằng cách
thực hiện câu lệnh sau với quyền root

Hoặc

Lưu ý: Việc này có thể khiến cho hệ điều hành có thể hoạt động không như
mong muốn.
3. Tài liệu tham khảo

https://blog.qualys.com/vulnerabilities-threatresearch/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discoveredin-polkits-pkexec-cve-2021-4034

https://access.redhat.com/security/vulnerabilities/RHSB-2022-001