Thông tin các lỗ hổng nghiêm trọng trong các sản phẩm Microsoft công bố tháng 10/2023

1. Thông tin lỗ hổng bảo mật

- Mô tả:

- Lỗ hổng an toàn thông tin CVE-2023-36778 trong Microsoft Exchange Server cho phép đối tượng tấn công thực thi mã từ xa.

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin, đã phát hành các văn bản cảnh báo diện rộng về những lỗ hổng ảnh hưởng đến Microsoft Exchange Server. Điều này cho thấy Microsoft Exchange Server vẫn luôn là mục tiêu hàng đầu được các đối tượng tấn công có chủ đích nhắm đến. Vì vậy, để đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức, Cục An toàn thông tin trân trọng đề nghị các đơn vị rà soát lỗ hổng liên quan đến Microsoft Exchange Server để phát hiện và có phương án xử lý kịp thời, đồng thời tăng cường giám sát nhằm giảm thiểu nguy cơ bị tấn công thông qua các lỗ hổng này.

- Lỗ hổng an toàn thông tin CVE-2023-36563 trong Microsoft WordPad cho phép đối tượng tấn công thực hiện thu thập thông tin mã băm NTLM của người dùng. Lỗ hổng hiện đang bị khai thác trong thực tế.

- Lỗ hổng an toàn thông tin CVE-2023-41763 trong Skype for Business cho phép đối tượng tấn công thực hiện leo thang đặc quyền. Lỗ hổng hiện đang bị khai thác trong thực tế.

- 02 lỗ hổng an toàn thông tin CVE-2023-35349, CVE-2023-36697 trong Microsoft Message Queuing cho phép đối tượng tấn công thực thi mã từ xa.

- Lỗ hổng an toàn thông tin CVE-2023-36434 trong Windows IIS Server cho phép đối tượng tấn công thực hiện leo thang đặc quyền.

- Ảnh hưởng:

STT

CVE

Mô tả

Link tham khảo

1

CVE-2023-36778

- Điểm: CVSS: 8.0 (Cao)

- Mô tả: Lỗ hổng trong Microsoft Exchange Server cho phép đối tượng tấn công thực thi mã từ xa.

- Ảnh hưởng: Microsoft Exchange Server 2016, 2019.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36778

2

CVE-2023-36563

- Điểm: CVSS: 6.5 (Cao)

- Mô tả: Lỗ hổng trong Microsoft WordPad cho phép đối tượng tấn công thực hiện thu thập thông tin mã băm NTLM của người dùng. Lỗ hổng hiện đang bị khai thác trong thực tế.

- Ảnh hưởng: Windows 10, Windows 11, Windows Server 2008, 2012, 2016, 2019, 2022.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563

3

CVE-2023-41763

- Điểm: CVSS: 5.3 (Cao)

- Mô tả: Lỗ hổng trong Skype for Business cho phép đối tượng tấn công thực hiện leo thang đặc quyền. Lỗ hổng hiện đang bị khai thác trong thực tế.

- Ảnh hưởng:

Skype for Business 2015, 2019.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-41763

 

 

 

4

 

 

 

CVE-2023-35349

CVE-2023-36697

- Điểm: CVSS: 9.8 (Nghiêm trọng)

- Mô tả: Lỗ hổng trong Microsoft Message Queuing cho phép đối tượng tấn công thực thi mã từ xa.

- Ảnh hưởng: Windows 10, Windows 11, Windows Server 2008, 2012, 2016, 2019, 2022.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35349

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36697

5

CVE-2023-36434

- Điểm: CVSS: 9.8 (Cao)

- Mô tả: Lỗ hổng trong Windows IIS Server cho phép đối tượng tấn công thực hiện leo thang đặc quyền.

- Ảnh hưởng: Windows 10, Windows 11, Windows Server 2008, 2012, 2016, 2019, 2022

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36434

 

- Đánh giá mức độ: Đánh giá sơ bộ từ các chuyên gia bảo mật, lỗ hổng này ảnh hưởng đến nhiều thiết bị trên toàn cầu trong đó có cả Việt Nam. Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) đánh giá khả năng các mã khai thác của các lỗ hổng này sẽ sớm được công khai trên Internet trong thời gian sắp tới.

3. Hướng dẫn khắc phục:

Biện pháp tốt nhất để khắc phục là cập nhật bản vá cho các lỗ hổng bảo mật nói trên theo hướng dẫn của hãng. Quý đơn vị tham khảo các bản cập nhật phù hợp cho các sản phẩm đang sử dụng tại link nguồn tham khảo tại mục 1 của phụ lục.

         4. Nguồn tham khảo:

https://msrc.microsoft.com/update-guide/         

 https://www.zerodayinitiative.com/blog/2023/10/10/the-october-2023-security-update-review

TIN MỚI NHẤT


Văn bản mới
thông tin-thông báo

  • Sở giáo dục và đào tạo
  • PGDĐT TP.Tây Ninh
  • PGDĐT Châu Thành
  • PGDĐT Hòa Thành
  • PGDĐT Dương Minh Châu
  • PGDĐT Bến Cầu
  • PGDĐT Tân Châu
  • PGDĐT Gò Dầu
  • PGDĐT Trảng Bàng
  • PGDĐT Tân Biên 
Video điều khiển
Phương án tuyển sinh của các trường đại học trong năm 2020
  • Phương án tuyển sinh của các trường đại học trong năm 2020
  • Bé làm toán
  • Cậu bé lớp 8 đòi làm thay việc của Bộ trưởng Giáo dục
  • Thông tin mới nhất tuyển sinh và xét tuyển đại học 2016
  • Bản tin Thông tin Giáo dục số 01
1 
Thống kê truy cập
  • Đang online: 1
  • Hôm nay: 1
  • Trong tuần: 1
  • Tất cả: 1
Đăng nhập
Thiết kế bởi VNPT