Cơ quan An ninh Mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm một lỗ hổng bảo mật trong các sản phẩm .NET và Visual Studio của Microsoft vào danh mục lỗ hổng đã biết bị khai thác (KEV) của họ do có bằng chứng về việc khai thác đang diễn ra.

Được theo dõi với mã CVE-2023-38180 (điểm CVSS: 7.5), lỗ hổng mức độ nghiêm trọng cấp độ cao này liên quan đến một trường hợp tấn công từ chối dịch vụ (DoS) ảnh hưởng đến .NET và Visual Studio.

Nó đã được Microsoft vá trong các bản cập nhật Patch Tuesday của tháng 8 năm 2023, được đánh dấu với một đánh giá "khả năng sẽ bị khai thác nhiều hơn".

Trong khi các chi tiết chính xác về cách thức khai thác vẫn chưa rõ ràng, nhà sản xuất Windows đã thừa nhận sự tồn tại của một chứng minh về khái niệm (PoC) trong thông báo của họ. Họ cũng nói rằng các cuộc tấn công sử dụng lỗ hổng có thể được thực hiện mà không cần bất kỳ quyền hạn bổ sung hoặc tương tác người dùng.

"Có sẵn mã chứng minh nó bị khai thác thực nghiệm, nhưng việc thực hiện cuộc tấn công không thực tế đối với hầu hết các hệ thống," công ty nói. "Mã hoặc kỹ thuật không hoạt động trong phần lớn các tình huống và yêu cầu sự điều chỉnh đáng kể bởi một kẻ tấn công có kỹ năng cao."

Các phiên bản bị ảnh hưởng của phần mềm bao gồm ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 phiên bản 17.2, Microsoft Visual Studio 2022 phiên bản 17.4 và Microsoft Visual Studio 2022 phiên bản 17.6.

Để giảm thiểu rủi ro tiềm ẩn, CISA đã đề xuất các cơ quan của Cơ quan Nhân viên Quản lý Dân sự (FCEB) áp dụng các biện pháp vá do Microsoft cung cấp cho lỗ hổng này trước ngày 30 tháng 8 năm 2023.