-
09/04/2020
-
116
-
1.193 bài viết
Lỗ hổng nghiêm trọng trong Windows Cloud Minifilter cho phép leo thang đặc quyền
Microsoft vừa phát hành bản cập nhật bảo mật để vá một lỗ hổng nghiêm trọng trong thành phần Windows Cloud Minifilter, lỗ hổng có thể bị lợi dụng để ghi file vào các vị trí hệ thống và chiếm quyền điều khiển với đặc quyền cao nhất. Lỗi này mang mã định danh CVE-2025-55680, do nhóm nghiên cứu Exodus Intelligence phát hiện từ tháng 3 năm 2024 và được Microsoft khắc phục trong đợt vá tháng 10 năm 2025.
Nguyên nhân là một điều kiện tranh chấp trong quy trình tạo placeholde mà các dịch vụ đồng bộ đám mây như OneDrive sử dụng để biểu thị dữ liệu trên mây. Quy trình này do driver Cloud Minifilter xử lý thông qua hàm HsmpOpCreatePlaceholders(). Khi nhận yêu cầu, hệ thống sẽ kiểm tra tên tệp để loại trừ các ký tự không hợp lệ, nhưng tồn tại một khoảng thời gian rất ngắn giữa lúc kiểm tra và lúc lệnh tạo file được thực thi. Kẻ tấn công có thể khai thác khe hở thời gian đó bằng cách sửa tên tệp trong vùng nhớ sau khi bước kiểm tra hoàn tất nhưng trước khi file được tạo, từ đó vượt qua cơ chế xác thực.
Kỹ thuật khai thác tận dụng lỗ hổng TOCTOU (time-of-check to time-of-use). Kẻ tấn công khởi chạy nhiều luồng song song, trong đó một số luồng liên tục gửi yêu cầu tạo placeholde với tên hợp lệ, còn các luồng khác nhanh chóng chỉnh sửa bộ nhớ chứa tên tệp. Nếu thao tác xảy ra đúng thời điểm, hệ thống sẽ tạo file với tên đã bị thay đổi và từ đó ghi nội dung vào các thư mục được bảo vệ như C:\Windows\System32. Khi tin tặc đặt được thư viện DLL độc hại vào những thư mục này, họ có thể lợi dụng cơ chế side-loading để khiến mã độc được thực thi với quyền SYSTEM.
Điểm đáng chú ý là chuỗi tấn công này không đòi hỏi quyền quản trị ngay từ đầu. Chỉ cần một tài khoản người dùng thông thường trên máy có bật tính năng đồng bộ đám mây hoặc đã cấu hình thư mục đồng bộ, là kẻ tấn công đã có thể khai thác. Điều này khiến rủi ro gia tăng đáng kể trên các thiết bị dùng chung và trong môi trường doanh nghiệp có nhiều người dùng.
Nguyên nhân gốc nằm ở cách driver Cloud Files Minifilter xử lý API CfCreatePlaceholders() thông qua mã điều khiển I/O 0x903BC. Thực tế, CVE-2025-55680 là “di chứng” của một bản vá trước đó cho lỗi tương tự. Dù bản vá đã thêm bước kiểm tra tên tệp, nhưng vẫn tồn tại khoảng lệch thời gian giữa lúc kiểm tra và lúc thực thi. Việc thiếu cơ chế đồng bộ hóa chặt chẽ giữa hai bước này chính là nguyên nhân khiến lỗ hổng xuất hiện trở lại.
Microsoft khuyến nghị cài đặt ngay các bản cập nhật bảo mật vừa phát hành. Quản trị viên nên ưu tiên các máy có thư mục đồng bộ đã được cấu hình và rà soát tất cả endpoint đang chạy dịch vụ đồng bộ. Bên cạnh việc vá, có thể tạm thời giảm rủi ro bằng cách giới hạn quyền ghi vào các thư mục hệ thống cho tiến trình không đáng tin cậy và tăng cường giám sát các hoạt động tạo file bất thường trong những thư mục này. Hệ thống EDR và giải pháp giám sát cần được cấu hình để phát hiện và cảnh báo khi xuất hiện chuỗi hành vi đặc trưng như thao tác tạo placeholde, ghi file vào thư mục hệ thống và các dấu hiệu side-loading DLL.
CVE-2025-55680 được xếp hạng mức độ cao với điểm CVSS 7.8. Khai thác thành công cho phép kẻ tấn công leo thang đặc quyền, tạo file tùy ý và thực thi mã ở cấp hệ thống. Vấn đề này phản ánh thách thức cố hữu trong việc bảo đảm tính toàn vẹn của các tiến trình xử lý song song, đặc biệt trong các driver làm trung gian giữa lớp người dùng và hệ thống tệp. Chỉ một sai lệch nhỏ trong kiểm soát thời gian cũng có thể tạo điều kiện để đặc quyền bị chiếm dụng và toàn bộ hệ thống bị xâm phạm.
Nguyên nhân là một điều kiện tranh chấp trong quy trình tạo placeholde mà các dịch vụ đồng bộ đám mây như OneDrive sử dụng để biểu thị dữ liệu trên mây. Quy trình này do driver Cloud Minifilter xử lý thông qua hàm HsmpOpCreatePlaceholders(). Khi nhận yêu cầu, hệ thống sẽ kiểm tra tên tệp để loại trừ các ký tự không hợp lệ, nhưng tồn tại một khoảng thời gian rất ngắn giữa lúc kiểm tra và lúc lệnh tạo file được thực thi. Kẻ tấn công có thể khai thác khe hở thời gian đó bằng cách sửa tên tệp trong vùng nhớ sau khi bước kiểm tra hoàn tất nhưng trước khi file được tạo, từ đó vượt qua cơ chế xác thực.
Kỹ thuật khai thác tận dụng lỗ hổng TOCTOU (time-of-check to time-of-use). Kẻ tấn công khởi chạy nhiều luồng song song, trong đó một số luồng liên tục gửi yêu cầu tạo placeholde với tên hợp lệ, còn các luồng khác nhanh chóng chỉnh sửa bộ nhớ chứa tên tệp. Nếu thao tác xảy ra đúng thời điểm, hệ thống sẽ tạo file với tên đã bị thay đổi và từ đó ghi nội dung vào các thư mục được bảo vệ như C:\Windows\System32. Khi tin tặc đặt được thư viện DLL độc hại vào những thư mục này, họ có thể lợi dụng cơ chế side-loading để khiến mã độc được thực thi với quyền SYSTEM.
Điểm đáng chú ý là chuỗi tấn công này không đòi hỏi quyền quản trị ngay từ đầu. Chỉ cần một tài khoản người dùng thông thường trên máy có bật tính năng đồng bộ đám mây hoặc đã cấu hình thư mục đồng bộ, là kẻ tấn công đã có thể khai thác. Điều này khiến rủi ro gia tăng đáng kể trên các thiết bị dùng chung và trong môi trường doanh nghiệp có nhiều người dùng.
Nguyên nhân gốc nằm ở cách driver Cloud Files Minifilter xử lý API CfCreatePlaceholders() thông qua mã điều khiển I/O 0x903BC. Thực tế, CVE-2025-55680 là “di chứng” của một bản vá trước đó cho lỗi tương tự. Dù bản vá đã thêm bước kiểm tra tên tệp, nhưng vẫn tồn tại khoảng lệch thời gian giữa lúc kiểm tra và lúc thực thi. Việc thiếu cơ chế đồng bộ hóa chặt chẽ giữa hai bước này chính là nguyên nhân khiến lỗ hổng xuất hiện trở lại.
Microsoft khuyến nghị cài đặt ngay các bản cập nhật bảo mật vừa phát hành. Quản trị viên nên ưu tiên các máy có thư mục đồng bộ đã được cấu hình và rà soát tất cả endpoint đang chạy dịch vụ đồng bộ. Bên cạnh việc vá, có thể tạm thời giảm rủi ro bằng cách giới hạn quyền ghi vào các thư mục hệ thống cho tiến trình không đáng tin cậy và tăng cường giám sát các hoạt động tạo file bất thường trong những thư mục này. Hệ thống EDR và giải pháp giám sát cần được cấu hình để phát hiện và cảnh báo khi xuất hiện chuỗi hành vi đặc trưng như thao tác tạo placeholde, ghi file vào thư mục hệ thống và các dấu hiệu side-loading DLL.
CVE-2025-55680 được xếp hạng mức độ cao với điểm CVSS 7.8. Khai thác thành công cho phép kẻ tấn công leo thang đặc quyền, tạo file tùy ý và thực thi mã ở cấp hệ thống. Vấn đề này phản ánh thách thức cố hữu trong việc bảo đảm tính toàn vẹn của các tiến trình xử lý song song, đặc biệt trong các driver làm trung gian giữa lớp người dùng và hệ thống tệp. Chỉ một sai lệch nhỏ trong kiểm soát thời gian cũng có thể tạo điều kiện để đặc quyền bị chiếm dụng và toàn bộ hệ thống bị xâm phạm.
Theo Cyber Press