Một lỗ hổng bảo mật nguy hiểm vừa ép Microsoft phải phá vỡ quy trình cập nhật hàng tháng của mình. Hãng công nghệ khổng lồ đã phát hành bản vá out-of-band (OOB) - tức bản vá khẩn cấp ngoài lịch trình - để khắc phục lỗ hổng privilege escalation (leo thang đặc quyền) nghiêm trọng trong ASP.NET Core. Điều này cho thấy mức độ nguy hiểm của lỗ hổng có thể ảnh hưởng đến hàng triệu website và ứng dụng web trên toàn cầu.

Khi 'Patch Tuesday' không đủ nhanh

Thông thường, Microsoft chỉ phát hành các bản vá bảo mật vào thứ Ba thứ hai của mỗi tháng, được gọi là 'Patch Tuesday'. Tuy nhiên, lỗ hổng trong ASP.NET Core này đủ nghiêm trọng để buộc họ phải hành động ngay lập tức. Chúng tôi cho rằng đây là dấu hiệu cho thấy lỗ hổng có thể đã bị khai thác trong thực tế hoặc có nguy cơ bị khai thác rất cao.

ASP.NET Core là framework phát triển web phổ biến của Microsoft, được sử dụng rộng rãi để xây dựng các ứng dụng web và API. Khi một lỗ hổng privilege escalation xuất hiện trong nền tảng này, kẻ tấn công có thể tận dụng để nâng cấp quyền hạn của mình từ người dùng thông thường lên administrator, từ đó kiểm soát hoàn toàn hệ thống.

Cơ chế tấn công và mức độ nguy hiểm

Lỗ hổng privilege escalation trong ASP.NET Core cho phép kẻ tấn công vượt qua các cơ chế kiểm soát truy cập và thu được những đặc quyền mà họ không được phép có. Điều này tương tự như việc một người lạ có thể sử dụng chìa khóa phụ để vào nhà bạn và tự phong mình là chủ nhà. Trong môi trường web application, điều này có nghĩa là kẻ tấn công có thể truy cập dữ liệu nhạy cảm, thay đổi cài đặt hệ thống, hoặc thậm chí cài đặt malware.

Theo đánh giá của chúng tôi, lỗ hổng này đặc biệt nguy hiểm vì ASP.NET Core được triển khai rộng rãi trong các hệ thống doanh nghiệp và government. Khi một framework nền tảng như vậy bị tổn thương, tác động lan rộng không chỉ ở một ứng dụng mà có thể ảnh hưởng đến toàn bộ hệ sinh thái công nghệ.

Bức tranh đáng lo ngại của an ninh mạng toàn cầu

Việc Microsoft phải phát hành bản vá khẩn cấp phản ánh xu hướng đáng báo động trong năm 2024. Theo thống kê từ CVE Details, số lượng lỗ hổng zero-day và critical vulnerabilities đã tăng 35% so với cùng kỳ năm trước. Điều này cho thấy tình hình an ninh mạng toàn cầu đang trở nên phức tạp hơn bao giờ hết.

Tại Việt Nam, theo báo cáo từ Cục An toàn thông tin, có hơn 12.000 website sử dụng công nghệ .NET và ASP.NET. Nếu không được cập nhật kịp thời, những hệ thống này có thể trở thành mục tiêu của các cuộc tấn công có chủ đích.

Hướng dẫn bảo vệ hệ thống ngay lập tức

Các doanh nghiệp và tổ chức Việt Nam đang sử dụng ASP.NET Core cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản ASP.NET Core hiện tại thông qua Visual Studio hoặc command line. Thứ hai, tải và cài đặt bản cập nhật mới nhất từ trang chủ Microsoft hoặc thông qua Windows Update. Thứ ba, khởi động lại tất cả các service và application liên quan để đảm bảo bản vá được áp dụng hoàn toàn.

Chúng tôi khuyến cáo mạnh mẽ không trì hoãn việc cập nhật này dù chỉ một ngày. Trong thế giới an ninh mạng, khoảng thời gian giữa khi lỗ hổng được công bố và khi bản vá được áp dụng chính là 'cửa sổ vàng' mà cybercriminal luôn chờ đợi để tấn công.