Patch Tuesday đầu năm của Microsoft đã giải quyết tổng cộng 49 lỗ hổng và 12 lỗ hổng thực thi mã từ xa (RCE), không bao gồm 4 lỗi trong Microsoft Edge được vá vào ngày 5/1.

Số lượng các lỗ hổng được liệt kê dưới đây:

10 lỗ hổng leo thang đặc quyền.

7 lỗ hổng vượt qua tính năng bảo mật.

12 lỗ hổng thực thi mã từ xa.

11 lỗ hổng tiết lộ thông tin.

6 lỗ hổng cho phép tấn công từ chối dịch vụ DoS.

3 lỗ hổng tấn công giả mạo (spoofing).

Trong đó, có 2 lỗ hổng được đánh giá là nghiêm trọng (một lỗ hổng là vượt qua tính năng bảo mật Windows Kerberos và 01 là lỗi thực thi mã từ xa trong nền tảng ảo hóa Hyper-V).

Mặc dù không có lỗ hổng nào đang bị khai thác hoặc được tiết lộ công khai trong tháng này nhưng vẫn có một số lỗ hổng bảo mật đáng chú ý như:

- CVE-2024-20677 (điểm CVSS: 7.8) là lỗ hổng bảo mật trong bộ Office có thể cho phép kẻ tấn công tạo tài liệu độc hại có nhúng các tệp mô hình định dạng 3D FBX từ đó thực thi mã từ xa.

- CVE-2024-20674 (điểm CVSS: 8.8) là lỗ hổng bảo mật cho phép kẻ tấn công vượt qua cơ chế xác thực trong Windows Kerberos. Kerberos là một giao thức xác thực mạng (network authentication) được thiết kế để cung cấp xác thực an toàn cho các ứng dụng client-server bằng cách sử dụng mật mã khóa bí mật. Nó được sử dụng rộng rãi trong môi trường Windows cho mục đích xác thực. Kẻ tấn công chưa xác thực có thể khai thác lỗ hổng bảo mật này bằng cách thiết lập một cuộc tấn công xen giữa (MITM) hoặc kỹ thuật giả mạo mạng cục bộ khác, sau đó gửi thông điệp Kerberos độc hại đến máy khách của nạn nhân như thể nó chính là máy chủ xác thực Kerberos.

Chi tiết các lỗ hổng bảo mật, người dùng có thể xem chi tiết tại địa chỉ: https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/Microsoft-Patch-Tuesday-January-2024.html

Để đảm bảo an toàn thông tin mạng, khuyến nghị các quản trị viên, người dùng tại các cơ quan, đơn vị và địa phương nên cập nhật hệ điều hành Windows lên phiên bản mới nhất để tránh rủi ro mất an toàn thông tin từ các lỗ hổng bảo mật nêu trên.