Lỗ hổng trong Windows Disk Cleanup bị khai thác để chiếm quyền SYSTEM

[WhiteHat Team]

Microsoft đã phát hành bản vá cho lỗ hổng trong công cụ dọn dẹp ổ đĩa Windows (Windows Disk Cleanup) trong đợt cập nhật Patch Tuesday tháng 2/2025. Đặc biệt, một nhà nghiên cứu đã công khai mã khai thác (PoC) của lỗ hổng này trên GitHub.

​

Lỗ hổng có mã định danh là CVE-2025-21420, có thể cho phép kẻ tấn công chiếm quyền SYSTEM trên hệ thống mục tiêu với điểm CVSS 7,8. Lỗ hổng này được báo cáo ẩn danh cho Microsoft, và sau đó, một nhà nghiên cứu đã công bố PoC khai thác kỹ thuật DLL sideloading với cleanmgr.exe, cho phép kẻ tấn công chèn một DLL độc hại vào quá trình thực thi của công cụ dọn dẹp ổ đĩa, từ đó chiếm quyền điều khiển hệ thống.

Theo tài liệu từ nhà nghiên cứu, quá trình khai thác diễn ra như sau:

$ cp .\dokan1.dll C:\Users\<username>\System32\System32\System32\dokannp1.d
$ cleanmgr /sageset:2

• Kẻ tấn công sử dụng kỹ thuật tải DLL độc hại vào cleanmgr.exe.
• Lên lịch chạy cleanmgr.exe với quyền NT AUTHORITY\SYSTEM hoặc chờ hệ thống tự động kích hoạt công cụ này (ví dụ: khi dung lượng ổ đĩa thấp hoặc có quá nhiều tệp tạm).

Microsoft đã phát hành bản vá cho CVE-2025-21420 trong Patch Tuesday tháng 2/2025 cùng với 55 lỗ hổng khác, bao gồm 4 lỗ hổng zero-day, trong đó có 2 lỗ hổng đang bị khai thác thực tế. Người dùng được khuyến cáo cập nhật ngay lập tức để bảo vệ hệ thống khỏi nguy cơ tấn công.

Do phương thức khai thác đơn giản nhưng có thể dẫn đến việc chiếm quyền SYSTEM, CVE-2025-21420 được đánh giá là mối đe dọa nghiêm trọng. Những quản trị viên chưa cài đặt bản vá tháng 2/2025 nên ưu tiên thực hiện ngay. Thông tin chi tiết về bản vá và các lỗ hổng khác có thể được tìm thấy trên trang Microsoft Security Response Center.

Theo Security Online​