Microsoft tung bản vá khẩn cấp cho lỗ hổng RCE ảnh hưởng Windows và Windows Server

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
107
937 bài viết
Microsoft tung bản vá khẩn cấp cho lỗ hổng RCE ảnh hưởng Windows và Windows Server
Microsoft đã phát hành bản vá khẩn cấp cho một lỗ hổng bảo mật ảnh hưởng đến hệ thống xác thực trong Windows, với mức điểm CVSS 9,8/10. Lỗ hổng này có thể cho phép tin tặc chiếm quyền điều khiển hoàn toàn hệ thống từ xa mà không cần bất kỳ tương tác nào từ người dùng.

1752141276436.png

Mã định danh: CVE-2025-47981
Mức độ nghiêm trọng: 9,8/10 (CRITICAL) lỗ hổng được xếp vào nhóm “cực kỳ nguy hiểm”.
Ngày được Microsoft vá: 08/7/2025

Lỗ hổng nằm trong cơ chế xác thực SPNEGO Extended Negotiation (NEGOEX) - một phần của hệ thống xác thực mạng trong Windows. Nó gây ra lỗi tràn bộ đệm vùng heap (heap-based buffer overflow), có thể dẫn đến thực thi mã từ xa (RCE) trên máy tính nạn nhân.

SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) là một giao thức xác thực cho phép các dịch vụ Windows thương lượng và chọn phương thức xác thực phù hợp (như NTLM, Kerberos…). NEGOEX là phần mở rộng được Microsoft bổ sung, hỗ trợ thêm các cơ chế xác thực nâng cao.

Lỗ hổng nằm ở cách NEGOEX xử lý các thông điệp xác thực - nơi tin tặc có thể gửi một gói tin được chế tạo đặc biệt qua mạng, gây lỗi tràn bộ nhớ và từ đó thực thi mã độc từ xa.

Lỗ hổng này sở dĩ được coi là đặc biệt nghiêm trọng, bởi vì:
  • Không cần quyền quản trị
  • Không cần tương tác từ người dùng
  • Tấn công từ xa qua mạng nội bộ hoặc VPN
  • Có thể chiếm toàn quyền kiểm soát hệ thống
Các hệ điều hành Windows bị ảnh hưởng bao gồm:
  • Windows 10 (từ version 1607 trở đi)
  • Windows Server 2016
  • Windows Server 2012, 2012 R2, 2008 R2
Nguyên nhân tăng rủi ro:
Cài đặt Group Policy Object (GPO) mặc định:
"Network security: Allow PKU2U authentication requests to this computer to use online identities"
Thiết lập này được bật sẵn trên nhiều hệ thống, vô tình mở rộng bề mặt tấn công cho lỗ hổng này.

Cách thức tấn công của tin tặc:
  • Gửi một thông điệp xác thực giả mạo tới hệ thống mục tiêu (qua mạng nội bộ hoặc qua dịch vụ kết nối).
  • Khai thác lỗi tràn bộ nhớ để thực thi mã độc.
  • Cài mã điều khiển từ xa (RAT), đánh cắp dữ liệu, chiếm quyền admin, hoặc làm sập hệ thống.
  • Không để lại dấu hiệu rõ ràng vì không cần overlay hay popup – khó bị người dùng phát hiện.
  • Hệ thống bị tấn công thành công có thể bị mất toàn bộ dữ liệu, kiểm soát, và ảnh hưởng tới các dịch vụ kết nối khác trong mạng doanh nghiệp.
Hiện chưa có khai thác thực tế công khai, nhưng Microsoft đánh giá khả năng bị khai thác là “Exploitation More Likely”.

Giải pháp khuyến nghị​

Đối với quản trị viên hệ thống:​

  • Cập nhật ngay bản vá từ Microsoft phát hành ngày 8/7/2025.
  • Windows 10 / Server 2016 → KB5062560
  • Windows Server 2012 → KB5062592
  • Kiểm tra và cân nhắc vô hiệu hóa chính sách GPO:
  • “Network security: Allow PKU2U authentication requests…” nếu không cần dùng tới.
  • Quét hệ thống để phát hiện hoạt động bất thường trên cổng xác thực và dịch vụ mạng.
  • Tăng cường giám sát mạng (SIEM/EDR) để phát hiện hành vi RCE tiềm ẩn.

Đối với người dùng doanh nghiệp:​

  • Không trì hoãn cập nhật hệ thống, kể cả những máy đang chạy ổn định.
  • Không kết nối vào mạng nội bộ qua VPN từ thiết bị chưa được vá.
  • Nếu có dấu hiệu lạ (mất quyền truy cập, phần mềm tự chạy), liên hệ ngay bộ phận CNTT.
Dù chưa có khai thác thực tế ghi nhận, nhưng với tính chất không cần tương tác, không yêu cầu quyền cao, và khả năng thực thi mã độc từ xa, đây là lỗ hổng không thể bỏ qua với bất kỳ tổ chức hay cá nhân nào sử dụng hệ điều hành Windows.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2025-47981 microsoft rce windows windows server
Bên trên