Microsoft’s April Patch Tuesday comes with fixes for two Windows zero-days
Tháng 4 2019 Patch Tuesday mang đến 74 bản vá Security, bao gồm các bản vá for 2 windows zero days
Hôm nay, MS đã công bố đợt cập nhật hằng tháng về security updates điển hình Patch Tuesday. Bản công bố về security cho tháng này là 74 lỗ hỏng trong 1 loạt các sản phẩm của MS, nó cũng bao gồm 2 actively exploited zero-days.
Đây là tháng thứ 2 mà MS cung cấp bản vá cho two zero-days, sau khi họ vá 2 bản tương tự vào tháng rồi.
The Windows zero-days
Cả 2 The two zero-days được vá vào tháng này cùng là một loại lỗ hỏng. Cả hai đều là elevation of privilege ảnh hưởng trên win32k, ảnh hưởng đến core của hệ điều hành Windows.
Đó là CVE-2019-0803 và CVE-2019-0859. Mặc dù được phát hiện bởi 2 security team. Alibaba Cloud Intelligence Security Team, và Kaspersky Lab, MS mô tả the two-zero days tương tự nhau.
An elevation of privilege vulnerability tồn tại trong hđh Windows khi Win32k không xử lý đúng các objects trong bộ nhớ. Attacker nếu exploit lỗ hỏng này thành công, họ có thể tùy ý chạy code trong kernel mode bao gồm: cài đặt phần mềm, view, change, delete data, thậm chí có thể tạo một account full quyền trong hệ thống của chúng ta.
Để exploit lỗ hỏng này, Đầu tiên attacker phải log on vào hệ thống. Sau đó attacker chạy một ứng dụng “đặt biệt” để có thể exploit lỗ hỏng và tiến hành control hệ thống.
Bản cập nhật vá lỗ hổng này bằng cách sửa cách mà win32k chạy các objects trong bộ nhớ.
Tuy nhiên, nếu chúng ta tính đến việc Kaspersky đã báo cáo về MS six Window Win32k elevation of privilege zero-days vào 6 tháng trước, chúng ta hoàn toàn có thể giả định rằng CVE-2019-0859 là một dạng zero-day exploited khác thực thi bởi một nhóm tin tặc giống như tất cả lỗ hỏng zero-days mà Kasperskype đã báo cáo trong quá khứ.
Other notable security flaws
Bên cạnh the window zero-days, cũng có nhiều lỗ hỏng đáng chú ý về security bugs trong các sản phẩm của MS. Người dùng nên ghi nhận và chuẩn bị apply bản vá cho tháng này.
Vd: có 3 MS office access connectivity bugs(CVE-2019-0824, CVE-2019-0825, CVE-2019-0827) cho phép tin tặc thực thi code trong 1 một hệ thống bị tấn công. Tất cả bugs có thể bị exploited từ xa, làm cho cả ba vấn đề trở nên nguy hiểm trong môi trường mạng doanh nghiệp.
Exploit từ xa (CVE-2019-0853) cũng ảnh hưởng Windows GDI + component khi phân tích tệp EMF. Việc exploit lỗ hỏng này có thể được thực hiện bằng cách “dụ” người dùng truy cập website hoặc email chứa malicious file. Vấn đề này cũng khá nghiêm trọng, người dùng nên cân nhắc khi quyết định update bản vá trong tháng này.
Adobe and SAP also release updates.
MS Patch Tuesday cũng là ngày mà các vendor khác công bố các bản vá security. Đáng kể đến là Adobe và SAP cũng đã published các bản cập nhật trong hôm nay.
Đáng chú ý hơn trong Patch Tuesday updates hiện có trên MS’s official security Update Guide portal. Bạn cũng có thể tham khảo bảng bên dưới, hoặc tham khảo trên Patch Tuesday report của ZDNet.
| Tag | CVE ID | CVE Title |
| Servicing Stack Updates | ADV990001 | Latest Servicing Stack Updates |
| Adobe Flash Player | ADV190011 | April 2019 Adobe Flash Security Update |
| .NET Core | CVE-2019-0815 | ASP.NET Core Denial of Service Vulnerability |
| CSRSS | CVE-2019-0735 | Windows CSRSS Elevation of Privilege Vulnerability |
| Microsoft Browsers | CVE-2019-0764 | Microsoft Browsers Tampering Vulnerability |
| Microsoft Edge | CVE-2019-0833 | Microsoft Edge Information Disclosure Vulnerability |
| Microsoft Exchange Server | CVE-2019-0817 | Microsoft Exchange Spoofing Vulnerability |
| Microsoft Exchange Server | CVE-2019-0858 | Microsoft Exchange Spoofing Vulnerability |
| Microsoft Graphics Component | CVE-2019-0803 | Win32k Elevation of Privilege Vulnerability |
| Microsoft Graphics Component | CVE-2019-0802 | Windows GDI Information Disclosure Vulnerability |
| Microsoft Graphics Component | CVE-2019-0849 | Windows GDI Information Disclosure Vulnerability |
| Microsoft Graphics Component | CVE-2019-0853 | GDI+ Remote Code Execution Vulnerability |
| Microsoft JET Database Engine | CVE-2019-0851 | Jet Database Engine Remote Code Execution Vulnerability |
| Microsoft JET Database Engine | CVE-2019-0879 | Jet Database Engine Remote Code Execution Vulnerability |
| Microsoft JET Database Engine | CVE-2019-0877 | Jet Database Engine Remote Code Execution Vulnerability |
| Microsoft JET Database Engine | CVE-2019-0847 | Jet Database Engine Remote Code Execution Vulnerability |
| Microsoft JET Database Engine | CVE-2019-0846 | Jet Database Engine Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0826 | Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0801 | Office Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0823 | Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0828 | Microsoft Excel Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0822 | Microsoft Graphics Components Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0827 | Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0824 | Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2019-0825 | Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability |
| Microsoft Office SharePoint | CVE-2019-0831 | Microsoft Office SharePoint XSS Vulnerability |
| Microsoft Office SharePoint | CVE-2019-0830 | Microsoft Office SharePoint XSS Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0752 | Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0861 | Chakra Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0862 | Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0860 | Chakra Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0835 | Microsoft Scripting Engine Information Disclosure Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0753 | Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0806 | Chakra Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0739 | Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0810 | Chakra Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0812 | Chakra Scripting Engine Memory Corruption Vulnerability |
| Microsoft Scripting Engine | CVE-2019-0829 | Chakra Scripting Engine Memory Corruption Vulnerability |
| Microsoft Windows | CVE-2019-0840 | Windows Kernel Information Disclosure Vulnerability |
| Microsoft Windows | CVE-2019-0838 | Windows Information Disclosure Vulnerability |
| Microsoft Windows | CVE-2019-0796 | Windows Elevation of Privilege Vulnerability |
| Microsoft Windows | CVE-2019-0839 | Windows Information Disclosure Vulnerability |
| Microsoft Windows | CVE-2019-0836 | Windows Elevation of Privilege Vulnerability |
| Microsoft Windows | CVE-2019-0837 | DirectX Information Disclosure Vulnerability |
| Microsoft Windows | CVE-2019-0794 | OLE Automation Remote Code Execution Vulnerability |
| Microsoft Windows | CVE-2019-0814 | Win32k Information Disclosure Vulnerability |
| Microsoft Windows | CVE-2019-0805 | Windows Elevation of Privilege Vulnerability |
| Microsoft Windows | CVE-2019-0848 | Win32k Information Disclosure Vulnerability |
| Microsoft Windows | CVE-2019-0730 | Windows Elevation of Privilege Vulnerability |
| Microsoft Windows | CVE-2019-0688 | Windows TCP/IP Information Disclosure Vulnerability |
| Microsoft Windows | CVE-2019-0845 | Windows IOleCvt Interface Remote Code Execution Vulnerability |
| Microsoft Windows | CVE-2019-0685 | Win32k Elevation of Privilege Vulnerability |
| Microsoft Windows | CVE-2019-0842 | Windows VBScript Engine Remote Code Execution Vulnerability |
| Microsoft Windows | CVE-2019-0841 | Windows Elevation of Privilege Vulnerability |
| Microsoft Windows | CVE-2019-0731 | Windows Elevation of Privilege Vulnerability |
| Microsoft Windows | CVE-2019-0732 | Windows Security Feature Bypass Vulnerability |
| Microsoft XML | CVE-2019-0793 | MS XML Remote Code Execution Vulnerability |
| Microsoft XML | CVE-2019-0791 | MS XML Remote Code Execution Vulnerability |
| Microsoft XML | CVE-2019-0790 | MS XML Remote Code Execution Vulnerability |
| Microsoft XML | CVE-2019-0792 | MS XML Remote Code Execution Vulnerability |
| Microsoft XML | CVE-2019-0795 | MS XML Remote Code Execution Vulnerability |
| Open Source Software | CVE-2019-0876 | Open Enclave SDK Information Disclosure Vulnerability |
| Team Foundation Server | CVE-2019-0870 | Team Foundation Server Cross-site Scripting Vulnerability |
| Team Foundation Server | CVE-2019-0869 | Team Foundation Server HTML Injection Vulnerability |
| Team Foundation Server | CVE-2019-0868 | Team Foundation Server Cross-site Scripting Vulnerability |
| Team Foundation Server | CVE-2019-0874 | Team Foundation Server Cross-site Scripting Vulnerability |
| Team Foundation Server | CVE-2019-0871 | Team Foundation Server Cross-site Scripting Vulnerability |
| Team Foundation Server | CVE-2019-0875 | Azure DevOps Server Elevation of Privilege Vulnerability |
| Team Foundation Server | CVE-2019-0867 | Team Foundation Server Cross-site Scripting Vulnerability |
| Team Foundation Server | CVE-2019-0857 | Team Foundation Server Spoofing Vulnerability |
| Team Foundation Server | CVE-2019-0866 | Team Foundation Server Cross-site Scripting Vulnerability |
| Windows Admin Center | CVE-2019-0813 | Windows Admin Center Elevation of Privilege Vulnerability |
| Windows Kernel | CVE-2019-0856 | Windows Remote Code Execution Vulnerability |
| Windows Kernel | CVE-2019-0859 | Win32k Elevation of Privilege Vulnerability |
| Windows Kernel | CVE-2019-0844 | Windows Kernel Information Disclosure Vulnerability |
| Windows SMB Server | CVE-2019-0786 | SMB Server Elevation of Privilege Vulnerability |
