May 08, 2021

Language:

CamSA21-03: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតចំនួន ១០ របស់ផលិតផល Microsoft ប្រចាំខែមករា ឆ្នាំ២០២១

១.ព័ត៌មានទូទៅ

ក្រុមហ៊ុនម៉ៃក្រូសូហ្វបានធ្វើការចេញផ្សាយនូវបញ្ជីចំណុចខ្សោយចំនួន ៨៣ចំណុច ដែលមានផលប៉ៈពាល់ទៅដល់ផលិតផលរបស់ខ្លួន ក្នុងចំនោមនោះមាន ១០ ចំណុច ត្រូវបានចាត់ទុកថាមានលក្ខណៈធ្ងន់ធ្ងរបំផុត។ ការវាយប្រហារជោគជ័យទៅលើចំណុចខ្សោយធ្ងន់ធ្ងរទាំង ១០​នេះ អាចអនុញ្ញាតឱ្យមានការដំណើរការកូដពីចម្ងាយ (remote code)ដោយចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) ។ ចំណុចខ្សោយទាំង ១០ នោះ មានដូចតទៅ៖

  • CVE-2021-1643: ចំណុចខ្សោយនេះកើតមានឡើងនៅក្នុងកម្មវីធី HEVC Video Extensions ដែលអាចអនុញ្ញាត អោយចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបាន ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យត្រឹមត្រូវនៅពេលដែលអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មាន (user-supplied input) ទៅក្នុង HEVC Video Extensions ដែលចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចធ្វើការបញ្ចូលព័ត៌មានជាលក្ខណៈវាយប្រហារចូលក្នុងកម្មវិធី ដើម្បីប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបានដោយជោគជ័យ
  • CVE-2021-1647: ចំណុចខ្សោយនេះកើតមានឡើងនៅក្នុងកម្មវីធី Microsoft Defender ដែលអាចអនុញ្ញាតអោយ ចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបាន ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យត្រឹមត្រូវនៅពេលដែលអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មាន (user-supplied input) ទៅក្នុង Microsoft Defender ដែលចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចធ្វើការបញ្ចូលព័ត៌មានជាលក្ខណៈវាយប្រហារចូលក្នុងកម្មវិធី ដើម្បីប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបានដោយជោគជ័យ
  • CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667, CVE-2021-1673: ចំណុចខ្សោយ នេះកើតមានឡើងនៅក្នុងកម្មវីធី Microsoft Remote Procedure Call Runtime ដែលអាចអនុញ្ញាតឱ្យ
    ចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបាន ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យត្រឹមត្រូវនៅពេលដែលអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មាន (user-supplied input) ទៅក្នុង Microsoft Remote Procedure Call Runtime ដែលចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចធ្វើការបញ្ចូលព័ត៌មានជាលក្ខណៈវាយប្រហារចូលក្នុងកម្មវិធី ដើម្បីប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបានដោយជោគជ័យ
  • CVE-2021-1668: ចំណុចខ្សោយនេះកើតមានឡើងនៅក្នុងកម្មវីធី Microsoft DTV-DVD Video Decoder ដែលអាចអនុញ្ញាតអោយចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបាន ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យត្រឹមត្រូវនៅពេលដែលអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មាន (user-supplied input) ទៅក្នុង Microsoft DTV-DVD Video Decoder ដែលចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) អាចធ្វើការបញ្ចូលព័ត៌មានជាលក្ខណៈវាយប្រហារចូលក្នុងកម្មវិធីដើម្បីប្រតិបត្តិកូដបំពាន (arbitrary code) នៅលើប្រព័ន្ធគោលដៅបានដោយជោគជ័យ
  • CVE-2021-1665: ចំណុចខ្សោយនេះកើតមាននៅពេលដែល Windows Graphics Device Interface (GDI) ធ្វើការជា មួយនឹង objects ក្នុងអង្គចងចាំ។ ចំណុចខ្សោយមួយនេះអាចអនុញ្ញាតឱ្យមានការវាយប្រហារទៅលើ អង្គចងចាំ ដែលអាច ដំណើរការកូដនានាក្នុងនាមជាអភិបាល (administrative user)
  • CVE-2021-1705: ចំណុចខ្សោយនេះ​កើតមាន​នៅពេល​ដែល​ ChakraCore​ scripting​ engine​ ធ្វើការ​ជាមួយនឹង​ objects​ ក្នុង​អង្គ​ចងចាំ​នៅក្នុង​ Microsoft​ Edge​។ ចំណុចខ្សោយនេះអាច​អនុញ្ញាត​ឱ្យចោរព័ត៌មានវិទ្យា/
    ហេកគ័រ (hacker) ធ្វើ​ការ​វាយ​លុក​ទៅលើ​អង្គ​ចងចាំ​ ដែល​អាច​ដំណើរការ​កូដ​នានា​ក្នុងនាម​ជា​អ្នកប្រើ​ប្រាស់​។

 ២.ផលិតផលម៉ៃក្រូសូហ្វដែលរងផលប៉ៈពាល់

  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft Windows Codecs Library
  • Visual Studio
  • SQL Server
  • Microsoft Malware Protection Engine
  • .NET Core
  • .NET Repository
  • ASP .NET
  • Azure

 ៣.ផលវិបាក

ការវាយប្រហារដោយជោគជ័យទៅលើចំណុចខ្សោយខាងលើនេះ អាចអនុញ្ញាតឱ្យ ចោរព័ត៌មានវិទ្យា/ហេកគ័រ (hacker) គ្រប់គ្រងទៅលើប្រព័ន្ធរងគ្រោះពីចម្ងាយ និងធ្វើសកម្មភាពផ្សេងៗដូចជា តំឡើងកម្មវិធី បង្កើតនូវគណនីអភិបាលថ្មី ផ្លាស់ប្តូរ ឬលុប ទិន្នន័យជាដើម។

 ៤.អនុសាសន៍ណែនាំ

អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រងប្រព័ន្ធត្រូវតែធ្វើការអាប់ដេតជាបន្ទាន់។

.ព័ត៌មានលំអិតពាក់ព័ន្ធ

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.