-
09/04/2020
-
112
-
1.097 bài viết
Microsoft phát hành Patch Tuesday tháng 9/2025: Vá 81 lỗ hổng, trong đó có 2 zero-day công khai
Ngày 9/9/2025, Microsoft chính thức phát hành loạt bản vá trong đợt Patch Tuesday tháng 9, xử lý tổng cộng 81 lỗ hổng bảo mật. Trong đó, hai lỗ hổng zero-day đã được khai công khai trước khi có bản vá, tạo áp lực cấp bách đối với các quản trị viên hệ thống phải cập nhật ngay lập tức.
Tổng số 81 lỗ hổng được Microsoft phân loại cụ thể: 41 leo thang đặc quyền, 22 thực thi mã từ xa, 16 tiết lộ thông tin, 3 từ chối dịch vụ, 2 bypass cơ chế bảo mật và 1 giả mạo (spoofing). Con số này chưa bao gồm các bản vá rải rác dành cho Azure, Dynamics 365, Mariner, Microsoft Edge và Xbox được phát hành sớm hơn trong tháng.
Nhóm Azure
Lỗ hổng đầu tiên, CVE-2025-55234 trong Windows SMB Server, cho phép tin tặc thực hiện relay attack để leo thang đặc quyền. Microsoft khuyến nghị quản trị viên kích hoạt các cơ chế bảo vệ sẵn có như SMB Server Signing và Extended Protection for Authentication (EPA). Tuy nhiên, các cơ chế này có thể gây ra vấn đề tương thích với thiết bị và hệ thống cũ. Trong bản vá tháng 9, Microsoft bổ sung tính năng audit để quản trị viên có thể kiểm tra mức độ tương thích trước khi áp dụng các cơ chế bảo mật, giúp đảm bảo hệ thống sẵn sàng và an toàn.
Lỗ hổng thứ hai, CVE-2024-21907, bắt nguồn từ thư viện Newtonsoft.Json phiên bản trước 13.0.1 được tích hợp trong SQL Server. Lỗi này cho phép dữ liệu crafted gây ra StackOverflow exception, dẫn đến tình trạng từ chối dịch vụ. Dù không phải là lỗ hổng mới và từng được công bố từ năm 2024, mức độ phổ biến của Newtonsoft.Json trong nhiều ứng dụng khiến Microsoft phải tích hợp phiên bản vá mới nhất của thư viện để đảm bảo an toàn cho SQL Server.
Tổng số 81 lỗ hổng được Microsoft phân loại cụ thể: 41 leo thang đặc quyền, 22 thực thi mã từ xa, 16 tiết lộ thông tin, 3 từ chối dịch vụ, 2 bypass cơ chế bảo mật và 1 giả mạo (spoofing). Con số này chưa bao gồm các bản vá rải rác dành cho Azure, Dynamics 365, Mariner, Microsoft Edge và Xbox được phát hành sớm hơn trong tháng.
9 lỗ hổng nghiêm trọng nổi bật
Trong số các bản vá, 9 lỗ hổng được đánh giá ở mức nghiêm trọng, gồm 5 thực thi mã từ xa, 3 leo thang đặc quyền và 1 tiết lộ thông tin. Nếu bị khai thác, chúng có thể cho phép tin tặc chiếm quyền điều khiển hệ thống, truy cập dữ liệu nhạy cảm hoặc mở đường cho các cuộc tấn công quy mô lớn. Các lỗ hổng này trải dài trên nhiều sản phẩm quan trọng của Microsoft:Nhóm Azure
- CVE-2025-54914, CVSS 10.0, Azure Networking: Khai thác từ xa không cần xác thực, chiếm toàn quyền hệ thống
- CVE-2025-55244, CVSS 9.8, Azure Bot Service: Có thể giành quyền truy cập và điều khiển tài nguyên
- CVE-2025-55241, CVSS 9.8, Azure Entra: Đe dọa trực tiếp tới an toàn xác thực và quản lý danh tính
- CVE-2025-55236, CVSS 9.8, Graphics Kernel: Cho phép khai thác để chạy mã độc cấp hệ thống
- CVE-2025-55226, CVSS 9.8, Graphics Kernel: Dễ bị khai thác để xâm nhập sâu vào Windows
- CVE-2025-53800, CVSS 9.8, Windows Graphics Component: Có thể bị lợi dụng để vượt quyền hạn người dùng hợp pháp
- CVE-2025-54910, CVSS 9.8: Tiềm ẩn nguy cơ khai thác qua tài liệu độc hại
- CVE-2025-54918, CVSS 9.8: Cho phép nâng quyền và truy cập dữ liệu nhạy cảm
- CVE-2025-55224, CVSS 9.8: Có thể bị khai thác để chiếm quyền kiểm soát máy ảo và hạ tầng
Hai lỗ hổng zero-day đặc biệt nguy hiểm
Trong bản vá tháng 9/2025, Microsoft cũng đã xử lý hai lỗ hổng zero-day đặc biệt nguy hiểm ảnh hưởng tới SMB Server và SQL Server, đòi hỏi sự chú ý khẩn cấp từ các quản trị viên hệ thống.Lỗ hổng đầu tiên, CVE-2025-55234 trong Windows SMB Server, cho phép tin tặc thực hiện relay attack để leo thang đặc quyền. Microsoft khuyến nghị quản trị viên kích hoạt các cơ chế bảo vệ sẵn có như SMB Server Signing và Extended Protection for Authentication (EPA). Tuy nhiên, các cơ chế này có thể gây ra vấn đề tương thích với thiết bị và hệ thống cũ. Trong bản vá tháng 9, Microsoft bổ sung tính năng audit để quản trị viên có thể kiểm tra mức độ tương thích trước khi áp dụng các cơ chế bảo mật, giúp đảm bảo hệ thống sẵn sàng và an toàn.
Lỗ hổng thứ hai, CVE-2024-21907, bắt nguồn từ thư viện Newtonsoft.Json phiên bản trước 13.0.1 được tích hợp trong SQL Server. Lỗi này cho phép dữ liệu crafted gây ra StackOverflow exception, dẫn đến tình trạng từ chối dịch vụ. Dù không phải là lỗ hổng mới và từng được công bố từ năm 2024, mức độ phổ biến của Newtonsoft.Json trong nhiều ứng dụng khiến Microsoft phải tích hợp phiên bản vá mới nhất của thư viện để đảm bảo an toàn cho SQL Server.
Những bản vá nổi bật khác
Ngoài hai zero-day, loạt cập nhật tháng này cũng xử lý nhiều lỗ hổng quan trọng:- Microsoft Office: Nhiều lỗ hổng RCE trong Excel, PowerPoint, Word, Visio và SharePoint
- Windows NTLM - CVE-2025-54918: Lỗ hổng leo thang đặc quyền mức nghiêm trọng, có thể bị khai thác để mở rộng quyền kiểm soát hệ thống
- Windows Graphics Kernel và Win32K: Nhiều lỗ hổng RCE nghiêm trọng liên quan đến xử lý đồ họa
- Windows BitLocker: Hai lỗ hổng leo thang đặc quyền, nếu khai thác có thể vượt qua lớp bảo vệ dữ liệu
- Windows Hyper-V: Nhiều lỗ hổng EoP, tác động trực tiếp đến môi trường ảo hóa
Theo Microsoft, Patch Tuesday – September 2025