Tin tức trong nước

Đội ứng cứu sự cố BHXH Việt Nam đạt kết quả cao trong Diễn tập quốc tế ACID 2022

Thực hiện kế hoạch hoạt động tổ chức diễn tập quốc tế về ứng cứu sự cố năm 2022 của các CERT quốc gia khu vực Đông Nam Á (ASEAN Computer Emergency Response Team (CERT) Incident Drill (ACID)), ngày 27/10/2022, Cục An toàn thông tin (Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam) đã triển khai chương trình diễn tập cho các cơ quan, tổ chức là thành viên Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia (gọi tắt là Mạng lưới). Chủ đề của đợt diễn tập này là “Dealing with Disruptive Cyber-Attacks Arising from Exploitation of Vulnerabilities - Ứng phó tấn công gián đoạn mạng từ việc khai thác lỗ hổng bảo mật”. Sự kiện đã thành công với sự tham dự đông đảo, nhiệt tình của 72 tổ chức, doanh nghiệp với 224 cán bộ quản lý, kỹ thuật từ các thành viên Mạng lưới.

Đánh giá của Ban Tổ chức trong nước từ ý kiến của nhóm kỹ thuật nòng cốt và nhóm chấm điểm, các đội tham gia diễn tập đều tích cực chủ động xử lý các tình huống trong diễn tập từ pha 1 đến pha 7. Đặc biệt với một số câu hỏi kỹ thuật khó được đặt ra, vẫn có các đội chơi đưa ra được đáp án đúng, khiến bảng điểm có sự khác biệt rõ giữa các đội giải được với chưa giải được. Kết quả cụ thể xếp hạng 10 đội có điểm cao nhất gồm: Trung tâm Công nghệ Thông tin – Bảo hiểm xã hội Việt Nam (1.700đ), Tập đoàn Bưu chính Viễn thông Việt Nam và Sở TT&TT Quảng Ngãi (1.660đ), Sở TT&TT Bắc Ninh (1.560đ), Ngân hàng TMCP Bưu điện Liên Việt (1.550đ), Sở TT&TT TP. Đà Nẵng (1.500đ), Sở TT&TT Hưng Yên (1.490đ), Sở TT&TT Ninh Thuận (1.460đ), Ngân hàng TMCP Nam Á (1.450đ), Công ty CP Viễn thông FPT (1.440đ).

Tập đoàn Bkav đã phối hợp cùng Công an thành phố Hải Phòng tổ chức khai giảng lớp Tập huấn

Sáng 07/11/2022, Tập đoàn Bkav đã phối hợp cùng Công an thành phố Hải Phòng tổ chức khai giảng lớp Tập huấn công tác bảo đảm an toàn, an ninh mạng cho các học viên là cán bộ chuyên trách phụ trách an toàn, an ninh mạng tại các sở, ngành, địa phương trên địa bàn thành phố.

Lớp tập huấn nhằm trang bị, nâng cao năng lực, trình độ về công nghệ thông tin cho đội ngũ cán bộ, kịp thời xử lý các tình huống khi có sự cố an ninh mạng xảy ra, góp phần bảo mật thông tin, xây dựng mô hình chính quyền điện tử, từng bước xây dựng thành phố trở thành đô thị thông minh.

Dưới sự truyền đạt và hướng dẫn của các giảng viên và trợ giảng đến từ Tập đoàn Bkav, hơn 50 học viên đã được tập huấn về kỹ năng nhận thức an ninh mạng và những kiến thức cần thiết cho đội quản trị hệ thống; quy trình thực hiện một cuộc tấn công APT trên thực tế; quy trình điều tra và xử lý sự cố an ninh mạng và Đào tạo rà soát, xử lý và phân tích mã độc.

Chương trình được các học viên đánh giá thiết yếu đối với các cán bộ phụ trách an toàn thông tin tại địa phương, giảng viên truyền đạt kiến thức nhiệt tình, dễ hiểu, lý thuyết đi đôi với thực hành, ví dụ trực quan, sát với thực tế…

Tin nước ngoài

Microsoft đang cảnh báo về việc tin tặc lạm dụng lỗ hổng zero-day được tiết lộ công khai ngày càng nhiều

Microsoft đang cảnh báo về việc các quốc gia và các đối tượng tội phạm đang ngày càng lạm dụng các lỗ hổng zero-day đã được tiết lộ công khai để xâm phạm các tổ chức mục tiêu.

Các lỗ hổng Zero-day là “một phương tiện đặc biệt hiệu quả để bắt đầu khai thác” và một khi bị tiết lộ công khai, các lỗ hổng có thể được tái sử dụng nhanh chóng bởi các quốc gia và đối tượng tội phạm mạng.

Trong Báo cáo phòng thủ số (Digital Defense Report), Microsoft cho biết đã nhận thấy "khoảng thời gian từ khi thông báo về một lỗ hổng bảo mật đến khi lỗ hổng đó trở nên phổ biến đã bị giảm đi ", điều này khiến các tổ chức buộc phải nhanh chóng áp dụng bản vá để kịp thời ngăn chặn các hành vi khai thác lỗ hổng.

Điều này càng được củng cố bởi thực tế là Cục Quản lý Không gian mạng Trung Quốc (CAC) đã ban hành một quy định báo cáo lỗ hổng bảo mật mới vào tháng 9 năm 2021 yêu cầu các lỗ hổng bảo mật phải được báo cáo cho chính phủ trước khi chia sẻ với các nhà phát triển sản phẩm. Luật này có thể cho phép các phần tử được chính phủ Trung Quốc hậu thuẫn có được và lạm dụng các lỗ hổng được báo cáo, dẫn đến việc tăng cường sử dụng zero-day cho các hoạt động gián điệp nhằm thúc đẩy lợi ích kinh tế và quân sự của Trung Quốc.

Một số lỗ hổng bị các tác nhân đe dọa Trung Quốc khai thác đầu tiên trước các nhóm tấn công khác bao gồm:  

CVE-2021-35211  (Điểm CVSS: 10,0) - Lỗ hổng thực thi mã từ xa (RCE) trong Máy chủ SolarWinds Serv-U Managed File Transfer và phần mềm Serv-U Secure FTP

CVE-2021-40539 (Điểm CVSS: 9,8) - Lỗ hổng cho phép vượt qua (bypass) xác thực trong Zoho ManageEngine ADSelfService Plus

CVE-2021-44077  (Điểm CVSS: 9,8) - Lỗ hổng RCE mà không cần xác thực trong Zoho ManageEngine ServiceDesk Plus

CVE-2021-42321  (Điểm CVSS: 8,8) - Lỗ hổng RCE trong Microsoft Exchange Server đã bị khai thác ba ngày sau khi nó được tiết lộ trong cuộc thi hack Các phát hiện cũng được đưa ra gần một tháng sau khi CISA công bố danh sách các lỗ hổng bảo mật hàng đầu bị các tổ chức ở Trung Quốc khai thác kể từ năm 2020 để đánh cắp tài sản trí tuệ và giành/mở rộng quyền truy cập vào các mạng nhạy cảm.

Phát hiện các ứng dụng Android với hàng triệu lượt cài đặt trên Play Store đã chuyển hướng người dùng đến các trang web độc hại

Nhóm bốn ứng dụng Android, của cùng một đối tượng có tên Mobile apps Group đã phát hành, bị phát hiện đang chuyển hướng người dùng đến các trang web độc hại.

Các ứng dụng hiện có trên cửa hàng ứng dụng Play Store của Google, với tổng số lượt tải xuống đạt hơn một triệu lần.

Theo Malwarebytes, các trang web được thiết kế để thu lợi thông qua quảng cáo được tính cho mỗi lần nhấp chuột, ngoài ra, nó còn nhắc người dùng cài đặt các ứng dụng dọn dẹp (cleaner app) trên điện thoại của người dùng nhằm triển khai thêm phần mềm độc hại.

Danh sách các ứng dụng đã được phát hiện bao gồm:

Bluetooth App Sender (com.bluetooth.share.app) - hơn 50.000 lượt tải xuống.

Bluetooth Auto Connect (com.bluetooth.autoconnect.anybtdevices) - hơn 1.000.000 lượt tải xuống.

Driver: Bluetooth, Wi-Fi, USB (com.driver.finder.bluetooth.wifi.usb) - hơn 10.000 lượt tải xuống.

Mobile transfer: smart switch (com.mobile.faster.transfer.smart.switch) - hơn 1.000 lượt tải xuống.

Những kẻ đứng sau các ứng dụng độc hại luôn tìm cách để vượt qua các biện pháp bảo mật trên Google Play Store. Một trong những chiến thuật phổ biến được các tác nhân đe dọa áp dụng là trì hoãn theo thời gian (time-based delays) để che giấu hành vi độc hại của chúng.

Phân tích của Malwarebytes cho thấy các ứng dụng đã chờ khoảng bốn ngày trước khi mở trang web lừa đảo đầu tiên trong trình duyệt Chrome, sau đó tiếp tục mở nhiều tab hơn sau mỗi hai giờ.

Các ứng dụng này là một phần của chiến dịch phát tán mã độc có tên là HiddenAds, đã hoạt động ít nhất từ ​​tháng 6 năm 2019 và có hồ sơ theo dõi về các khoản thu nhập bất hợp pháp bằng cách chuyển hướng người dùng đến các quảng cáo.

Phát hiện cũng được đưa ra khi các nhà nghiên cứu từ Guardio Labs tiết lộ chi tiết về chiến dịch Dormant Colors, một chiến dịch quảng cáo độc hại sử dụng các tiện ích bổ sung (extension) giả mạo dành cho Google Chrome và Microsoft Edge để lừa người dùng truy vấn đến các domain do các tác nhân đe dọa kiểm soát.

Tin kỹ thuật chung

Microsoft phát hành Patch Tuesday tháng 11 để giải quyết 68 lỗ hổng, bao gồm 6 lỗ hổng zero-day đã bị khai thác

Thứ Ba vừa qua (08/11), Microsoft đã phát hành bản vá bảo mật hằng tháng (Patch Tuesday) cho tháng 11 để giải quyết tổng cộng 68 lỗ hổng, bao gồm sáu lỗ hổng (EoP)

4 lỗ hổng cho phép vượt qua tính năng bảo mật (Security Feature Bypass)

16 lỗ hổng thực thi mã từ xa (RCE)

11 lỗ hổng gây lộ thông tin

6 lỗ hổng từ chối dịch vụ (DoS)

3 lỗ hổng giả mạo (spoofing)

Bản vá bảo mật tháng này của Microsoft đã giải quyết sáu lỗ hổng zero-day đã bị khai thác, trong đó có một lỗ hổng đã được tiết lộ công khai, bao gồm:

CVE-2022-41128 - Lỗ hổng RCE trong (bypass) tính năng bảo mật MOTW, được Will Dormann phát hiện.

CVE-2022-41073 - lỗ hổng leo thang đặc quyền trong (MSTIC).

CVE-2022-41125 - lỗ hổng leo thang đặc quyền trong dịch vụ (MSTIC) và Microsoft Security Response Center (MSRC).

CVE-2022-41040 - lỗ hổng leo thang đặc quyền của máy chủ Microsoft Exchange được GTSC phát hiện và báo cáo thông qua chương trình Zero Dat initiative.

CVE-2022-41082 - lỗ hổng thực thi mã từ xa của Microsoft Exchange Server được GTSC phát hiện và tiết lộ thông qua Zero Dat initiative.

GTSC Việt Nam được ghi nhận là công ty bảo mật đã phát hiện các lỗ hổng bị khai thác lần đầu tiên trong các cuộc tấn công vào cuối tháng 9.

Người dùng nên kiểm tra và cập nhật bản vá mới nhất cho các sản phẩm đang sử dụng ngay khi có thể để giảm thiểu các mối đe dọa tiềm ẩn.

Citrix phát hành các bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến Citrix Gateway và Citrix ADC

Citrix đã phát hành các bản cập nhật bảo mật để giải quyết lỗi bỏ qua xác thực nghiêm trọng trong bộ điều khiển phân phối ứng dụng (application delivery controller - ADC) và các sản phẩm Gateway, có thể bị lợi dụng để kiểm soát các hệ thống bị ảnh hưởng.

Khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công giành được quyền truy cập, chiếm quyền điều khiển máy tính từ xa và thậm chí phá vỡ các biện pháp phòng thủ chống lại các nỗ lực tấn công dò quét thông tin đăng nhập (login brute-force).

Các lỗ hổng đã được giải quyết, bao gồm:

CVE-2022-27510: Lỗ hổng cho phép truy cập trái phép vào Gateway

CVE-2022-27513: Lỗ hổng cho phép chiếm quyền điều khiển máy tính để bàn từ xa thông qua lừa đảo

-CVE-2022-27516: Lỗ hổng bỏ qua tính năng bảo vệ khỏi tấn công login brute-force

Nhà nghiên cứu Jarosław Jahrek Kamiński tại công ty kiểm thử thâm nhập Securitum của Ba Lan đã được ghi nhận là người đã phát hiện và báo cáo các lỗ hổng.

Các phiên bản Citrix ADC và Citrix Gateway [đang được hỗ trợ] bị ảnh hưởng bởi các lỗ hổng bao gồm:

Citrix ADC và Citrix Gateway 13.1 < 13.1-33.47

Citrix ADC và Citrix Gateway 13.0 < 13.0-88.12

Citrix ADC và Citrix Gateway 12.1 < 12.1.65.21

Citrix ADC 12.1-FIPS < 12.1-55.289

Citrix ADC 12.1-NDcPP < 12.1-55.289

Tuy nhiên, việc khai thác các lỗ hổng trên yêu cầu điều kiện tiên quyết là các thiết bị được thiết lập cấu hình như một VPN (Gateway) hoặc một máy chủ ảo chứng thực và phần quyền truy cập (AAA virtual server) trong trường hợp của CVE-2022-27516.

Ngoài ra, CVE-2022-27513 và CVE-2022-27516 cũng chỉ xảy ra khi tính năng proxy RDP và chức năng khóa người dùng "Số lần đăng nhập tối đa" (Max Login Attempts) được thiết lập tương ứng.

Citrix khuyến nghị "những khách hàng bị ảnh hưởng của Citrix ADC và Citrix Gateway nên cài đặt các phiên bản cập nhật liên quan của Citrix ADC hoặc Citrix Gateway càng sớm càng tốt".

Đối với khách hàng đang sử dụng các dịch vụ cloud do Citrix trực tiếp quản lý sẽ không cần thực hiện bất kỳ hành động nào.

Microsoft phát hành bản vá cho sự cố khiến tiện ích Teams Meeting bị vô hiệu hóa trong Outlook

Microsoft đang triển khai bản vá cho một sự cố ảnh hưởng đến người dùng Outlook dành cho Microsoft 365, khiến họ không thể lên lịch cuộc họp nhóm (Teams meeting) vì tùy chọn này không còn khả dụng trên thanh tính năng (ribbon) của ứng dụng.

Tiện ích (add-in) Teams Meeting, có thể được tìm thấy trong phần ‘Calendar view’, giúp người dùng Outlook tạo các cuộc họp nhóm từ Outlook. Trong một bài hỗ trợ được xuất bản vào tháng 9, Microsoft cho biết "khi cố gắng tạo cuộc họp nhóm trong Outlook Desktop, người dùng thấy rằng tùy chọn này bị thiếu trên ribbon".

Trong bản cập nhật vào thứ Năm tuần trước, Nhóm Teams Product xác nhận rằng sự cố đã được giải quyết và bản vá hiện đang được triển khai cho những khách hàng đang sử dụng phiên bản Teams 1.5.00.28567. Redmond cũng lưu ý rằng Teams meeting add-in yêu cầu cài đặt .Net 4.8 và WebView2 trên hệ thống để không bị vô hiệu hóa.

Microsoft cho biết: "Trong một số trường hợp hỗ trợ, các kỹ sư nhận thấy rằng nếu .Net 4.8 hoặc Webview2 không được cài đặt, thì việc cài đặt chúng sẽ giúp giải quyết vấn đề Teams add-in bị vô hiệu hóa".

Để kiểm tra phiên bản Teams đang sử dụng, bạn cần mở Teams và đi tới phần About (Giới thiệu) > Version (Phiên bản) sau khi nhấp vào menu " (Cài đặt và nhiều hơn nữa) (dấu ba chấm ở trên cùng bên phải). Redmond đã nhận được báo cáo về vấn đề này từ tháng 9 từ các khách hàng trên những nền tảng trực tuyến khác nhau (từ Reddit đến trang web cộng đồng của Microsoft).

Mặc dù Microsoft vẫn chưa tiết lộ nguyên nhân đằng sau những sự cố này, nhưng khách hàng cho biết tính năng này rất có thể tự động bị vô hiệu hóa sau khi khiến Outlook gặp sự cố, mà không có cách khắc phục, gỡ cài đặt hay cài đặt lại ứng dụng giúp khắc phục sự cố.

Cho đến khi bản vá được triển khai cho tất cả khách hàng gặp sự cố, Microsoft đã chia sẻ một biện pháp tạm thời để khắc phục vấn đề này. Người dùng bị ảnh hưởng cần bật lại tiện ích Teams meeting theo cách thủ công và thêm khóa registry để ngăn nó tự động bị vô hiệu hóa lại theo các bước sau:

Trong Outlook, chọn File > Options > Add-ins > Manage (Tệp > Tùy chọn > Phần bổ trợ > Quản lý), chọn "Disabled Items" (Các mục bị vô hiệu hóa), sau đó nhấn “Go” (đi tiếp).

Nếu bạn thấy Teams được liệt kê trong Disabled Items, hãy chọn nó, sau đó chọn chọn Enable (Bật).

Khởi động lại Outlook và kiểm tra xem tiện ích có hoạt động hay không.

Thông tin nguồn tham khảo:

[1] Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities

[2] These Android Apps with a Million Play Store Installations Redirect Users to Malicious Sites

[3] Microsoft November 2022 Patch Tuesday fixes 6 exploited zero-days, 68 flaws

[4] Citrix Issues Patches for Critical Flaw Affecting ADC and Gateway Products