Liên hệ
Microsoft Vá Lỗ Hổng Kernel Windows Đang Bị Khai Thác (CVE-2025-62215) trong Bản Cập Nhật Patch Tuesday

Microsoft Vá Lỗ Hổng Kernel Windows Đang Bị Khai Thác (CVE-2025-62215) trong Bản Cập Nhật Patch Tuesday

  • 6:48 chiều

Vào ngày Patch Tuesday tháng 11 năm 2025, Microsoft đã tung ra một loạt các bản vá lỗi, trong đó có hơn 60 lỗ hổng đã được khắc phục. Đáng chú ý nhất là lỗ hổng trong Windows Kernel (CVE-2025-62215) đang bị khai thác tích cực.

CVE-2025-62215

Đây là một vấn đề về lỗi hỏng bộ nhớ xuất phát từ việc “thực thi đồng thời sử dụng tài nguyên dùng chung với đồng bộ hóa không đúng cách (‘race condition’) trong Windows Kernel”. Lỗi này cho phép leo thang đặc quyền cục bộ lên SYSTEM.

Trung tâm Tình báo Mối đe dọa của Microsoft (MSTIC) và Trung tâm Ứng phó Bảo mật của hãng (MSRC) đã gắn cờ việc khai thác lỗ hổng này trong tự nhiên, có thể là trong các cuộc tấn công giới hạn, vì mã khai thác đã hoạt động nhưng không phổ biến.

Dustin Childs, trưởng bộ phận nâng cao nhận thức về mối đe dọa tại Zero Day Initiative của Trend Micro, lưu ý: “Điều thú vị là có một race condition ở đây, và nó cho thấy một số race condition đáng tin cậy hơn những loại khác. Các lỗi như thế này thường đi kèm với một lỗi thực thi mã bởi phần mềm độc hại để chiếm toàn bộ hệ thống”.

Chris Goettl, Phó chủ tịch Quản lý Sản phẩm Bảo mật tại Ivanti, chỉ ra rằng lỗ hổng này ảnh hưởng đến tất cả các phiên bản hệ điều hành Windows hiện được hỗ trợ và Bản cập nhật bảo mật mở rộng (ESU) của Windows 10, điều này có nghĩa là rủi ro khi chạy Windows 10 sau EoL mà không có ESU không phải là điều giả thuyết.

Ông khuyến cáo: “Đảm bảo bạn đã đăng ký Windows 10 ESU và cung cấp các biện pháp giảm thiểu bổ sung nếu có thể”.

Microsoft cũng đã tung ra bản cập nhật ngoài băng tần cho các thiết bị tiêu dùng không được đăng ký trong chương trình Bản cập nhật Bảo mật Mở rộng (ESU) cho Windows 10. Bản cập nhật này khắc phục sự cố có thể khiến trình hướng dẫn đăng ký ESU không thành công trong quá trình đăng ký.

Goettl lưu ý rằng có những sản phẩm Windows khác sẽ không còn được hỗ trợ hoặc sẽ được hỗ trợ trong một thời gian ngắn nữa.

“Ví dụ: Exchange Server đang nhận được một số sự quan tâm đặc biệt. Microsoft đã công bố tùy chọn ESU 6 tháng cho máy chủ Exchange 2016/2019 dành cho những khách hàng cần gia hạn. Tuy nhiên, hướng dẫn của họ là không nên dựa vào chương trình này và cố gắng chuyển khỏi Exchange và chuyển sang Exchange SE kịp thời.”

Windows 11 Home và Pro 23H2 đã đạt đến ngày “Kết thúc hỗ trợ”.

Các lỗ hổng đáng chú ý khác

CVE-2025-60724 là một lỗi tràn bộ đệm dựa trên heap trong Giao diện thiết bị đồ họa Plus (GDI+), một hệ thống con được sử dụng trong các ứng dụng Windows để hiển thị đồ họa vectơ 2D, hình ảnh và văn bản.

Microsoft giải thích: “Kẻ tấn công có thể kích hoạt lỗ hổng này bằng cách thuyết phục nạn nhân tải xuống và mở một tài liệu chứa metafile được tạo đặc biệt. Trong trường hợp xấu nhất, kẻ tấn công có thể kích hoạt lỗ hổng này trên các dịch vụ web bằng cách tải lên các tài liệu chứa metafile được tạo đặc biệt mà không cần sự tương tác của người dùng”.

Lỗ hổng này là “nghiêm trọng”, vì nó có thể dẫn đến thực thi mã từ xa mà không cần bất kỳ sự tương tác nào của người dùng và có thể bị kích hoạt bởi những kẻ tấn công chưa được xác thực trong các cuộc tấn công có độ phức tạp thấp. Tuy nhiên, Microsoft đánh giá rằng nó ít có khả năng bị khai thác.

Adam Barnett, kỹ sư phần mềm hàng đầu tại Rapid7, nhận xét: “Mặc dù lỗ hổng này gần như chắc chắn không thể lây lan qua worm, nhưng nó rõ ràng là rất nghiêm trọng và chắc chắn là ưu tiên hàng đầu cho bất kỳ ai đang cân nhắc cách tiếp cận các bản vá của tháng này”.

CVE-2025-62199, một lỗi use-after-free trong Microsoft Office, có thể bị kẻ tấn công khai thác để thực thi mã trên các hệ thống dễ bị tấn công.

Microsoft chỉ ra, việc khai thác dựa vào việc người dùng bị lừa tải xuống và mở một tệp độc hại, nhưng cũng tuyên bố rằng Preview Pane là một vectơ tấn công.

Barnett của Rapid7 lưu ý: “Điều này chắc chắn làm tăng khả năng khai thác trong thế giới thực, vì kẻ tấn công không cần phải tạo ra một cách để vượt qua những cảnh báo khó chịu về việc kích hoạt nội dung nguy hiểm. Chỉ cần cuộn qua danh sách email trong Outlook là đủ”.

CVE-2025-62222 ảnh hưởng đến Agentic AI và Visual Studio Code và có thể cho phép kẻ tấn công trái phép thực thi mã qua mạng.

Ben McCarthy, kỹ sư an ninh mạng hàng đầu tại Immersive, cho biết: “Lỗ hổng đã được xác định và vá trong Visual Studio Code CoPilot Chat Extension. Chuỗi tấn công ở đây là một chuỗi mới lạ và đáng lo ngại nhắm vào môi trường đáng tin cậy của nhà phát triển”.

“Kẻ tấn công tạo ra một vấn đề GitHub độc hại trong một kho lưu trữ. Mô tả của vấn đề này chứa lệnh ẩn, chưa được xử lý. Sau đó, kẻ tấn công phải thuyết phục nhà phát triển tương tác với vấn đề cụ thể này theo một cách không chuẩn: bằng cách ‘bật một chế độ cụ thể trên vấn đề do kẻ tấn công tạo ra’. Hành động này của người dùng khiến tiện ích mở rộng đọc và thực thi mô tả vấn đề độc hại. Điều này kích hoạt lỗ hổng command injection, dẫn đến Thực thi mã từ xa hoàn toàn trong ngữ cảnh của người dùng.”

Giải thích thuật ngữ:

  • Patch Tuesday: Ngày thứ Ba thứ hai của mỗi tháng, khi Microsoft phát hành các bản cập nhật bảo mật cho các sản phẩm của mình.
  • Windows Kernel: Phần cốt lõi của hệ điều hành Windows, chịu trách nhiệm quản lý tài nguyên hệ thống.
  • CVE (Common Vulnerabilities and Exposures): Một hệ thống đặt tên tiêu chuẩn cho các lỗ hổng bảo mật đã biết.
  • Race Condition: Một tình huống xảy ra khi kết quả của một hoạt động phụ thuộc vào thứ tự không thể đoán trước của các sự kiện.
  • Leo thang đặc quyền (Elevation of Privilege): Một cuộc tấn công trong đó kẻ tấn công có được quyền truy cập cao hơn vào hệ thống so với quyền mà họ được phép.
  • MSTIC (Microsoft Threat Intelligence Center): Trung tâm tình báo về các mối đe dọa của Microsoft.
  • MSRC (Microsoft Security Response Center): Trung tâm ứng phó bảo mật của Microsoft.
  • ESU (Extended Security Updates): Bản cập nhật bảo mật mở rộng, cho phép người dùng tiếp tục nhận các bản cập nhật bảo mật cho các phiên bản Windows đã hết hạn hỗ trợ.
  • GDI+ (Graphics Device Interface Plus): Một hệ thống con được sử dụng trong các ứng dụng Windows để hiển thị đồ họa 2D.
  • Heap-based buffer overflow: Lỗi tràn bộ đệm xảy ra trong vùng nhớ heap.
  • Use-after-free: Lỗi xảy ra khi bộ nhớ đã được giải phóng nhưng vẫn bị chương trình sử dụng.
  • Agentic AI: Một loại trí tuệ nhân tạo có khả năng hành động và đưa ra quyết định một cách tự chủ.
  • Visual Studio Code: Một trình soạn thảo mã nguồn phổ biến.
  • Command injection: Một loại tấn công trong đó kẻ tấn công chèn các lệnh độc hại vào một ứng dụng.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

CISA Cảnh Báo Về Chiến Dịch Phần Mềm Gián Điệp Nhắm Vào Người Dùng Signal và WhatsApp

CISA cảnh báo về các chiến dịch phần mềm gián điệp đang hoạt động nhắm vào người dùng Signal và …

Molerats Trở Lại: Nhắm Mục Tiêu Chính Phủ Trung Đông Với Chiêu Thức Tinh Vi

Nhóm tin tặc khét tiếng Molerats, hay còn gọi là GazaHackerTeam, vừa tái xuất giang hồ sau hai tháng im …

SuperCard X: Mã độc Android mới cho phép gian lận ATM và POS không tiếp xúc qua tấn công NFC Relay

Một loại mã độc Android mới nổi lên, được gọi là SuperCard X, đang tạo ra mối đe dọa lớn …

Ba Lỗ Hổng React Mới Xuất Hiện Sau Vụ React2Shell

Ba lỗ hổng React mới xuất hiện sau React2Shell CVE-2025-55183, CVE-2025-55184 và CVE-2025-67779 cần được chú ý ngay lập tức Nhóm Nghiên …