ĐẶC KHU HÀNH CHÍNH HỒNG KÔNG – Media OutReach – Ngày 18 tháng 8 năm 2023 – Trend Micro (có cổ phiếu giao dịch tại Sở giao dịch chứng khoán Tokyo, Nhật Bản, với mã TYO: 4704; TSE: 4704) – công ty hàng đầu thế giới về bảo mật đám mây đã thông báo tại sự kiện Black Hat USA (Mũ đen Mỹ) năm 2023 rằng, chương trình Sáng kiến ​​Zero Day (Zero Day Initiative – ZDI) của công ty đã đưa ra các lời khuyên giúp giải quyết hơn 1.000 lỗ hổng khác nhau trong năm 2023. Tác động trong thế giới thực, nếu những lỗ hổng này được vũ khí hóa, sẽ dẫn đến tổn thất về thời gian và tài chính gấp hơn 10 lần chi phí phòng ngừa.

Zero day là một thuật ngữ để ám chỉ những lỗ hổng bảo mật chưa được công bố hoặc chưa được khắc phục.

Ông Kevin Simzer, Giám đốc vận hành (COO) của Trend Micro cho biết: “Việc chúng tôi chủ động đầu tư hàng triệu USD mỗi năm vào nghiên cứu lỗ hổng và mua hàng giúp tiết kiệm hàng tỷ USD trong việc phục hồi cho cả khách hàng của mình và toàn ngành. Một xu hướng đáng lo ngại đang được ghi nhận là các công ty thiếu minh bạch xung quanh việc vá lỗi của nhà cung cấp tiết lộ lỗ hổng. Điều này gây ra mối đe dọa đối với an ninh của thế giới kỹ thuật số”.

Hiện nay, Trend đang kêu gọi chấm dứt việc vá lỗi thầm lặng – hành vi làm chậm hoặc giảm bớt việc tiết lộ công khai cũng như tài liệu về các lỗ hổng và bản vá lỗi. Đây là một rào cản lớn để chống lại tội phạm mạng, nhưng lại rất phổ biến đối với các nhà cung cấp lớn và nhà cung cấp dịch vụ đám mây.

Trong một phiên họp tại Black Hat USA 2023, đại diện của Trend Research đã tiết lộ rằng, việc vá lỗi thầm lặng đã trở nên đặc biệt phổ biến đối với các nhà cung cấp đám mây. Các công ty thường xuyên hạn chế chỉ định ID Lỗ hổng và Phơi nhiễm chung (Common Vulnerabilities and Exposures – CVE) cho tài liệu công khai và thay vào đó phát hành các bản vá riêng tư.

Việc thiếu minh bạch hoặc số phiên bản cho các dịch vụ đám mây cản trở việc đánh giá rủi ro và tước đi đối với cộng đồng bảo mật rộng lớn hơn về thông tin có giá trị để tăng cường bảo mật hệ sinh thái tổng thể.

Tại sự kiện Black Hat năm ngoái, Trend Micro đã cảnh báo về số lượng bản vá lỗi hoặc không đầy đủ ngày càng tăng và các nhà cung cấp có xu hướng miễn cưỡng cung cấp thông tin xác thực về các bản vá lỗi bằng ngôn ngữ đơn giản. Khoảng cách kể từ đó đã trở nên tồi tệ hơn, với việc một số công ty hủy bỏ việc vá lỗi hoàn toàn, khiến khách hàng và ngành của họ phải đối mặt với rủi ro không cần thiết và ngày càng tăng.

Cần có hành động khẩn cấp để ưu tiên vá lỗi, xử lý các lỗ hổng và thúc đẩy sự cộng tác giữa các nhà nghiên cứu, nhà cung cấp dịch vụ an ninh mạng và nhà cung cấp dịch vụ đám mây để củng cố các dịch vụ dựa trên đám mây và bảo vệ người dùng khỏi những rủi ro tiềm ẩn.

Trend Micro cam kết vá lỗ hổng bảo mật một cách minh bạch và nhằm mục đích nâng cao tình hình bảo mật trong toàn ngành, thông qua chương trình Sáng kiến ​​Zero Day. Thông qua cam kết tiết lộ thông tin minh bạch, Sáng kiến ​​Zero Day của Trend Micro đã đưa ra các khuyến cáo về một số lỗ hổng zero-day bao gồm:

ZDI-CAN-20784 Github (CVSS 9.9)

– Lỗ hổng này cho phép kẻ tấn công từ xa leo thang đặc quyền trên các bản cài đặt bị ảnh hưởng của Microsoft GitHub. Xác thực là cần thiết để khai thác lỗ hổng này

– Lỗ hổng tồn tại trong cấu hình của Dev-Containers. Ứng dụng không thực thi cờ đặc quyền trong cấu hình bộ chứa nhà phát triển. Kẻ tấn công có thể tận dụng lỗ hổng này để leo thang đặc quyền và thực thi mã trong ngữ cảnh của phần mềm giám sát máy ảo (hypervisor)

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

– Lỗ hổng này cho phép kẻ tấn công từ xa tiết lộ thông tin nhạy cảm trên Microsoft Azure. Trước tiên, kẻ tấn công phải có khả năng thực thi mã đặc quyền cao trên môi trường đích để khai thác lỗ hổng này

– Lỗ hổng tồn tại trong việc xử lý các chứng chỉ. Sự cố xảy ra do việc tiếp xúc với tài nguyên đối với phạm vi kiểm soát sai. Kẻ tấn công có thể tận dụng lỗ hổng này để tiết lộ thông tin đăng nhập được lưu trữ, dẫn đến sự xâm phạm hơn nữa.

Để có danh sách đầy đủ các lời khuyên từ Sáng kiến ​​Zero Day của Trend Micro được công bố, hãy truy cập https://www.zerodayinitiative.com/advisories/published/

Sáng kiến ​​Zero Day của Trend Micro đi tiên phong trong thị trường lỗ hổng với trọng tâm là phá vỡ những kẻ tấn công bằng cách mua hợp pháp nghiên cứu lỗ hổng, mà sau đó có thể được tiết lộ cho các nhà cung cấp bị ảnh hưởng để giải quyết trước khi thông tin được công khai.

Hashtag: #trendmicro #ZDI #cybersecurity #cloudsecurity

Nguồn phát hành hoàn toàn chịu trách nhiệm về nội dung của thông báo này.

Thông tin về Trend Micro

Trend Micro, một công ty hàng đầu thế giới về an ninh mạng, giúp làm cho thế giới an toàn trong việc trao đổi thông tin kỹ thuật số. Được thúc đẩy bởi nhiều thập kỷ chuyên môn bảo mật, nghiên cứu mối đe dọa toàn cầu và đổi mới liên tục, nền tảng an ninh mạng của Trend Micro bảo vệ hàng trăm nghìn tổ chức và hàng triệu cá nhân trên các đám mây, mạng, thiết bị và điểm cuối.

Là công ty hàng đầu trong lĩnh vực an ninh mạng doanh nghiệp và đám mây, Trend Micro cung cấp một loạt các kỹ thuật phòng thủ mối đe dọa tiên tiến mạnh mẽ được tối ưu hóa cho các môi trường như Amazon Web Services (AWS), Microsoft và Google, đồng thời khả năng hiển thị trung tâm để phát hiện và phản ứng nhanh hơn, tốt hơn. Với 7.500 nhân viên làm việc tại 70 quốc gia và vùng lãnh thổ trên thế giới, Trend Micro cho phép các tổ chức đơn giản hóa và bảo mật thế giới được kết nối của họ. www.trendmicro.com