10 lỗ hổng bảo mật có thể ảnh hưởng đến sản phẩm của Microsoft

Cục An toàn thông tin (Bộ TT&TT) vừa gửi cảnh báo tới các đơn vị chuyên trách CNTT, an toàn thông tin của các bộ, ngành, địa phương; các tập đoàn đoàn, tổng công ty nhà nước cùng các ngân hàng và tổ chức tài chính. 

Theo đó, Microsoft mới đây đã phát hành danh sách bản vá tháng 11 với 63 lỗ hổng an toàn thông tin trong các sản phẩm của hãng mình. Qua phân tích đánh giá, Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp nhà nước đặc biệt lưu ý 10 lỗ hổng an toàn thông tin mạng mức cao và nghiêm trọng vừa được Microsoft phát hành bản vá.

Cụ thể, 3 lỗ hổng hiện đang bị các đối tượng khai thác trong thực tế, được Cục An toàn thông tin lưu ý gồm có: CVE-2023-36033 trong Windows Desktop Manager, CVE-2023-36036 trong Windows Cloud Files Mini Filter Driver và CVE-2023-36025.

 10 lỗ hổng an ninh ảnh hưởng đến các hệ thống tại Việt Nam. 

Trong đó, lỗ hổng CVE-2023-36025 cho phép đối tượng tấn công vượt qua tính năng bảo mật SmartScreen của Windows, 2 lỗ hổng: CVE-2023-36033 và CVE-2023-36036 đều cho phép đối tượng tấn công thực hiện leo thang đặc quyền.

Ba lỗ hổng CVE-2023-36439 trong Microsoft Exchange Server, CVE-2023-36041 trong Microsoft Excel và CVE-2023-38177 trong Microsoft SharePoint Server cho phép đối tượng tấn công thực thi mã từ xa.

Trong khi đó, lỗ hổng CVE-2023-36397 trong Windows Pragmatic General Multicast cho phép đối tượng tấn công không cần xác thực có thể thực thi mã từ xa.

Ba lỗ hổng bảo mật khác cũng được Cục An toàn thông tin cảnh báo đợt này, đó là: Lỗ hổng CVE-2023-36400 trong Windows HMAC Key Derivation cho phép đối tượng tấn công thực hiện leo thang đặc quyền; lỗ hổng CVE-2023-36038 trong ASP.NET Core cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ (DoS) và lỗ hổng CVE-2023-36413 cho phép đối tượng tấn công vượt qua tính năng bảo mật của Microsoft Office.

Bảo Linh (t/h)