- Danh sách những lỗ hổng bảo mật được Microsoft công bố tháng 01/2023, có tới 13 lỗ hổng mức cao cần chú ý…

Microsoft vừa phát hành danh sách bản vá tháng 01/2923 với 98 lỗ hổng bảo mật trong các sản phẩm, trong đó có một số lỗ hổng mức Cao cần chú ý như sau:

Lỗ hổng bảo mật CVE-2023-21674 trong Windows Advanced Local Procedure Call (ALPC) cho phép đối tượng tấn công thực hiện nâng cao đặc quyền. Lỗ hổng này đang bị khai thác trong thực tế.

03 lỗ hổng bảo mật CVE-2023-21743, CVE-2023-21744, CVE-2023-21742trong Microsoft SharePoint Server, trong đó CVE-2023-21743 cho phép đối tượng tấn công thực hiện tấn công vượt qua cơ chế bảo mật; 02 lỗ hổng CVE-2023-21744, CVE-2023-21742 cho phép đối tượng tấn công thực thi mã từ xa.

04 lỗ hổng bảo mật CVE-2023-21763, CVE-2023-21764, CVE-2023-21762, CVE-2023-21745 trong Microsoft Exchange Server, trong đó 02 lỗ hổng CVE[1]2023-21763, CVE-2023-21764 cho phép đối tượng tấn công thực hiện nâng cao đặc quyền; 02 lỗ hổng CVE-2023-21762, CVE-2023-21745 cho phép đối tượng tấn công thực hiện tấn công giả mạo.

Lỗ hổng bảo mật CVE-2023-21549 trong Windows Workstation Service cho phép đối tượng tấn công thực hiện nâng cao đặc quyền. Lỗ hổng này đã được công bố rộng rãi trên Internet.

02 lỗ hổng bảo mật CVE-2023-21561, CVE-2023-21551 trong Microsoft Cryptographic Services cho phép đối tượng tấn công nâng cao đặc quyền.

02 lỗ hổng bảo mật CVE-2023-21734, CVE-2023-21735 trong Microsoft Office cho phép đối tượng tấn công thực thi mã từ xa.

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của các đơn vị, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin - Bộ Thông tin và Truyền thông khuyến nghị.

Các đơn vị, doanh nghiệp cần kiểm tra, rà soát, xác định máy tính sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng. Thực hiện cập nhật bản vá kịp thời để tránh nguy cơ bị tấn công (tham khảo thông tin tại phụ lục kèm theo).

Bên cạnh đó, cần tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Phạm Lê