Phiên bản Windows đang bị đe dọa bởi lỗ hổng zero-day

Một lỗ hổng zero-day vừa được phát hiện trên tất cả phiên bản hệ điều hành Windows, từ Windows 7, Server 2008 R2 cho đến Windows 11 24H2 và Server 2022 mới nhất. Lỗ hổng này cho phép kẻ tấn công đánh cắp thông tin đăng nhập NTLM (New Technology LAN Manager) của người dùng chỉ bằng một tệp tin độc hại.

NTLM là một giao thức xác thực cũ và Microsoft đã khuyến cáo người dùng chuyển sang các phương thức xác thực hiện đại và an toàn hơn.

Theo 0patch, nhóm nghiên cứu bảo mật phát hiện ra lỗ hổng và phát hành bản vá không chính thức, người dùng có thể bị tấn công khi xem tệp tin độc hại trong Windows Explorer, ví dụ như mở thư mục chia sẻ, USB hoặc thư mục Downloads chứa tệp tin này. Điều đáng lo ngại là ngay cả phiên bản Windows 11 24H2 mới nhất cũng bị ảnh hưởng. Microsoft đã được thông báo về lỗ hổng nhưng vẫn chưa đưa ra bản vá chính thức.

Hiện tại, 0patch cũng đang thử nghiệm bản vá cho Windows Server 2025, phiên bản mới nhất vừa được Microsoft phát hành vào tháng 11.

Nhiều phiên bản Windows bị ảnh hưởng bởi lỗ hổng zero-day NTLM

Người dùng Windows được khuyến nghị cập nhật bản vá không chính thức từ 0patch để bảo vệ mình khỏi nguy cơ bị đánh cắp thông tin đăng nhập.

Trước đó, Microsoft đã phát hành bản vá giúp khắc phục tổng cộng 89 lỗ hổng trên Windows cũng như các ứng dụng và dịch vụ khác của công ty. Trong số này, 4 lỗ hổng được phân loại là "nghiêm trọng", trong khi hầu hết lỗ hổng còn lại đều được đánh giá là "rủi ro cao". Microsoft cho biết, hai trong số các lỗ hổng bảo mật trên Windows đã bị khai thác trong thực tế, với tổng cộng 6 lỗ hổng zero-day được vá trong bản cập nhật này. Tính đến thời điểm hiện tại, năm 2024 đã trở thành năm có số lượng lỗ hổng được vá nhiều thứ hai.

Bên cạnh đó, Microsoft cũng phát hành phiên bản mới của Windows Malicious Software Removal Tool nhằm giúp người dùng phát hiện và khắc phục các mối đe dọa từ phần mềm độc hại.

Trong số 89 lỗ hổng được vá, có 37 lỗ hổng liên quan đến nhiều phiên bản Windows khác nhau, bao gồm Windows 10, Windows 11 và Windows Server. Windows 7 và Windows 8.1 không còn nhận được bản cập nhật bảo mật, do đó người dùng nên nâng cấp lên Windows 10 (22H2) hoặc Windows 11 (23H2) để tiếp tục nhận được hỗ trợ bảo mật. Lưu ý rằng Windows 10 sẽ ngừng hỗ trợ vào năm tới, vì vậy người dùng cũng nên cân nhắc chuyển thẳng sang Windows 11 nếu có thể.

Hai lỗ hổng bảo mật nghiêm trọng mà Microsoft đã xác định gồm CVE-2024-43451 cho phép kẻ tấn công giả mạo người dùng và CVE-2024-49039 cho phép mã độc thoát khỏi vùng chứa ứng dụng. Một lỗ hổng RCE (thực thi mã từ xa) trong giao thức Kerberos, CVE-2024-43639 cũng được phân loại là nghiêm trọng vì kẻ tấn công có thể thực thi mã mà không cần tương tác của người dùng. Ngoài ra, lỗ hổng RCE CVE-2024-43498 trong .NET và Visual Studio được xác định cho phép kẻ tấn công gửi yêu cầu đặc biệt đến ứng dụng web .NET dễ bị tấn công để thực thi mã độc.

Microsoft cũng đã vá 8 lỗ hổng trên các sản phẩm Office, trong đó có 7 lỗ hổng RCE, bao gồm 5 lỗ hổng trong Excel. Lỗ hổng thứ 8 là lỗ hổng SFB (Security Feature Bypass) trong Word cho phép bỏ qua chế độ xem bảo vệ.

Thanh Hiền (t/h)