-
09/04/2020
-
112
-
1.102 bài viết
CVE-2025-21293: Lỗ hổng Active Directory cho phép hacker chiếm trọn domain controller
Microsoft vừa phát đi cảnh báo về lỗ hổng nghiêm trọng trong Active Directory Domain Services, được định danh CVE-2025-21293, với điểm CVSS 8,8. Lỗ hổng cho phép kẻ tấn công đã có quyền truy cập ban đầu leo thang đặc quyền, giành quyền kiểm soát hoàn toàn domain controller và đe dọa an toàn hạ tầng mạng doanh nghiệp.
Theo Microsoft, đây là lỗi “Elevation of Privilege” xuất phát từ điểm yếu kiểm soát truy cập CWE-284. Nguyên nhân đến từ việc quyền CreateSubKey trên các khóa registry nhạy cảm như DnsCache và NetBT bị cấp quá rộng cho nhóm “Network Configuration Operators”. Kẻ tấn công nếu là thành viên nhóm này có thể tạo subkey mới và đăng ký performance counter trỏ đến một thư viện DLL độc hại. Khi hệ thống đọc performance counter qua WMI hoặc công cụ quản lý, DLL sẽ được nạp với đặc quyền SYSTEM. Điều này cho phép cài mã độc, chỉnh sửa hoặc xóa dữ liệu quan trọng, tạo tài khoản quản trị mới và duy trì hiện diện trong hệ thống.
CVE-2025-21293 được báo cáo lần đầu ngày 14/1/2025 và Microsoft vừa cập nhật cảnh báo ngày 9/9/2025 để cung cấp thông tin rõ ràng hơn. Đánh giá khai thác được xếp loại “Exploitation Less Likely” do kẻ tấn công cần đăng nhập hợp lệ trước khi chạy ứng dụng độc hại để kích hoạt lỗi. Điều này có nghĩa lỗ hổng không thể bị khai thác từ xa bởi người dùng chưa xác thực.
Hiện chưa ghi nhận khai thác thực tế ngoài môi trường và chi tiết kỹ thuật chưa bị công bố. Tuy nhiên hậu quả tiềm ẩn đủ nghiêm trọng để khiến bản vá trở thành ưu tiên hàng đầu cho quản trị viên CNTT. Khi domain controller bị chiếm quyền SYSTEM, toàn bộ forest Active Directory và các tài nguyên liên kết đều có nguy cơ bị xâm phạm.
Để giảm thiểu nguy cơ bị khai thác, quản trị viên cần khẩn trương thực hiện các bước sau:
Theo Microsoft, đây là lỗi “Elevation of Privilege” xuất phát từ điểm yếu kiểm soát truy cập CWE-284. Nguyên nhân đến từ việc quyền CreateSubKey trên các khóa registry nhạy cảm như DnsCache và NetBT bị cấp quá rộng cho nhóm “Network Configuration Operators”. Kẻ tấn công nếu là thành viên nhóm này có thể tạo subkey mới và đăng ký performance counter trỏ đến một thư viện DLL độc hại. Khi hệ thống đọc performance counter qua WMI hoặc công cụ quản lý, DLL sẽ được nạp với đặc quyền SYSTEM. Điều này cho phép cài mã độc, chỉnh sửa hoặc xóa dữ liệu quan trọng, tạo tài khoản quản trị mới và duy trì hiện diện trong hệ thống.
CVE-2025-21293 được báo cáo lần đầu ngày 14/1/2025 và Microsoft vừa cập nhật cảnh báo ngày 9/9/2025 để cung cấp thông tin rõ ràng hơn. Đánh giá khai thác được xếp loại “Exploitation Less Likely” do kẻ tấn công cần đăng nhập hợp lệ trước khi chạy ứng dụng độc hại để kích hoạt lỗi. Điều này có nghĩa lỗ hổng không thể bị khai thác từ xa bởi người dùng chưa xác thực.
Hiện chưa ghi nhận khai thác thực tế ngoài môi trường và chi tiết kỹ thuật chưa bị công bố. Tuy nhiên hậu quả tiềm ẩn đủ nghiêm trọng để khiến bản vá trở thành ưu tiên hàng đầu cho quản trị viên CNTT. Khi domain controller bị chiếm quyền SYSTEM, toàn bộ forest Active Directory và các tài nguyên liên kết đều có nguy cơ bị xâm phạm.
Để giảm thiểu nguy cơ bị khai thác, quản trị viên cần khẩn trương thực hiện các bước sau:
- Triển khai ngay bản vá mà Microsoft phát hành trong đợt cập nhật tháng 1/2025.
- Kiểm tra thành viên nhóm “Network Configuration Operators” và loại bỏ tài khoản không cần thiết.
- Rà soát và điều chỉnh quyền truy cập registry trên các khóa nhạy cảm để thu hẹp bề mặt tấn công.
- Giám sát việc đăng ký performance counter bất thường và theo dõi các truy vấn WMI đọc performance data.
- Phát hiện và ngăn chặn hoạt động tạo subkey trái phép trong hệ thống.
Theo Cyber Security News