Microsoft phát hành bản vá tháng 10/2023 cho 103 lỗi, trong đó có 2 lỗi đang bị khai thác

Có hai trong số 103 lỗ hổng được phát hiện đang bị khai thác trong các cuộc tấn công zero-day, cụ thể như sau:

CVE-2023-36562 (Điểm CVSS: 6.5): Lỗ hổng làm lộ lọt thông tin trong Microsoft WordPad.

CVE-2023-41763 (Điểm CVSS: 5.3): Lỗ hổng leo thang đặc quyền trên ứng dụng “Skype for Business” có thể dẫn tới việc lộ lọt thông tin quan trọng như địa chỉ IP, cho phép đối tượng tấn công truy cập vào mạng nội bộ.

Để khai thác lỗ hổng CVE-2023-36563, ban đầu, đối tượng tấn công cần đăng nhập vào hệ thống và thực thi một ứng dụng tùy chỉnh để chiếm quyền kiểm soát. Bên cạnh đó, thông qua việc khai thác lỗ hổng này, các đối tượng tấn công cũng có thể dẫn dụ người dùng mở file độc hại qua email hoặc tin nhắn.

Ngoài ra, bản vá tháng 10/2023 cũng giải quyết một loạt các lỗ hổng liên quan đến Microsoft Message Queuing (MSMQ) và giao thức Layer 2 Tunneling, có thể dẫn đến thực thi mã từ xa và từ chối dịch vụ.

Microsoft cũng đã vá một lỗ hổng leo thang đặc quyền nghiêm trọng trên Windows IIS Server (CVE-2023-36434, Điểm CVSS: 9.8) cho phép đối tượng tấn công giả mạo và đăng nhập dưới tên người dùng khác thông qua brute-force.

Microsoft đã phát hành một bản vá cho lỗ hổng CVE-2023-44487, hay còn gọi là tấn công HTTP/2 Rapid Reset, đã bị các tác nhân chưa rõ danh tính sử dụng như một lỗ hổng zero-day để thực hiện các cuộc tấn công phân tán từ chối dịch vụ (DDoS). Mặc dù cuộc tấn công DDoS này có khả năng làm ảnh hưởng đến tính khả dụng của dịch vụ, nhưng nó không dẫn đến việc lộ lột dữ liệu khách hàng.

Cuối cùng, Microsoft thông báo về việc ngừng cung cấp chức năng Visual Basic Script (VBScript), một ngôn ngữ thường bị lợi dụng để phát tán mã độc. Trong các phiên bản sau này của Windows, VBScript sẽ không còn mặc định nữa nhưng người dùng có thể cài đặt thêm.