-
09/04/2020
-
107
-
937 bài viết
Microsoft tung bản vá khẩn cấp cho lỗ hổng RCE ảnh hưởng Windows và Windows Server
Microsoft đã phát hành bản vá khẩn cấp cho một lỗ hổng bảo mật ảnh hưởng đến hệ thống xác thực trong Windows, với mức điểm CVSS 9,8/10. Lỗ hổng này có thể cho phép tin tặc chiếm quyền điều khiển hoàn toàn hệ thống từ xa mà không cần bất kỳ tương tác nào từ người dùng.
Mã định danh: CVE-2025-47981
Mức độ nghiêm trọng: 9,8/10 (CRITICAL) lỗ hổng được xếp vào nhóm “cực kỳ nguy hiểm”.
Ngày được Microsoft vá: 08/7/2025
Lỗ hổng nằm trong cơ chế xác thực SPNEGO Extended Negotiation (NEGOEX) - một phần của hệ thống xác thực mạng trong Windows. Nó gây ra lỗi tràn bộ đệm vùng heap (heap-based buffer overflow), có thể dẫn đến thực thi mã từ xa (RCE) trên máy tính nạn nhân.
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) là một giao thức xác thực cho phép các dịch vụ Windows thương lượng và chọn phương thức xác thực phù hợp (như NTLM, Kerberos…). NEGOEX là phần mở rộng được Microsoft bổ sung, hỗ trợ thêm các cơ chế xác thực nâng cao.
Lỗ hổng nằm ở cách NEGOEX xử lý các thông điệp xác thực - nơi tin tặc có thể gửi một gói tin được chế tạo đặc biệt qua mạng, gây lỗi tràn bộ nhớ và từ đó thực thi mã độc từ xa.
Lỗ hổng này sở dĩ được coi là đặc biệt nghiêm trọng, bởi vì:
Cài đặt Group Policy Object (GPO) mặc định:
Cách thức tấn công của tin tặc:
Mã định danh: CVE-2025-47981
Mức độ nghiêm trọng: 9,8/10 (CRITICAL) lỗ hổng được xếp vào nhóm “cực kỳ nguy hiểm”.
Ngày được Microsoft vá: 08/7/2025
Lỗ hổng nằm trong cơ chế xác thực SPNEGO Extended Negotiation (NEGOEX) - một phần của hệ thống xác thực mạng trong Windows. Nó gây ra lỗi tràn bộ đệm vùng heap (heap-based buffer overflow), có thể dẫn đến thực thi mã từ xa (RCE) trên máy tính nạn nhân.
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) là một giao thức xác thực cho phép các dịch vụ Windows thương lượng và chọn phương thức xác thực phù hợp (như NTLM, Kerberos…). NEGOEX là phần mở rộng được Microsoft bổ sung, hỗ trợ thêm các cơ chế xác thực nâng cao.
Lỗ hổng nằm ở cách NEGOEX xử lý các thông điệp xác thực - nơi tin tặc có thể gửi một gói tin được chế tạo đặc biệt qua mạng, gây lỗi tràn bộ nhớ và từ đó thực thi mã độc từ xa.
Lỗ hổng này sở dĩ được coi là đặc biệt nghiêm trọng, bởi vì:
- Không cần quyền quản trị
- Không cần tương tác từ người dùng
- Tấn công từ xa qua mạng nội bộ hoặc VPN
- Có thể chiếm toàn quyền kiểm soát hệ thống
- Windows 10 (từ version 1607 trở đi)
- Windows Server 2016
- Windows Server 2012, 2012 R2, 2008 R2
Cài đặt Group Policy Object (GPO) mặc định:
Thiết lập này được bật sẵn trên nhiều hệ thống, vô tình mở rộng bề mặt tấn công cho lỗ hổng này."Network security: Allow PKU2U authentication requests to this computer to use online identities"
Cách thức tấn công của tin tặc:
- Gửi một thông điệp xác thực giả mạo tới hệ thống mục tiêu (qua mạng nội bộ hoặc qua dịch vụ kết nối).
- Khai thác lỗi tràn bộ nhớ để thực thi mã độc.
- Cài mã điều khiển từ xa (RAT), đánh cắp dữ liệu, chiếm quyền admin, hoặc làm sập hệ thống.
- Không để lại dấu hiệu rõ ràng vì không cần overlay hay popup – khó bị người dùng phát hiện.
- Hệ thống bị tấn công thành công có thể bị mất toàn bộ dữ liệu, kiểm soát, và ảnh hưởng tới các dịch vụ kết nối khác trong mạng doanh nghiệp.
Giải pháp khuyến nghị
Đối với quản trị viên hệ thống:
- Cập nhật ngay bản vá từ Microsoft phát hành ngày 8/7/2025.
- Windows 10 / Server 2016 → KB5062560
- Windows Server 2012 → KB5062592
- Kiểm tra và cân nhắc vô hiệu hóa chính sách GPO:
- “Network security: Allow PKU2U authentication requests…” nếu không cần dùng tới.
- Quét hệ thống để phát hiện hoạt động bất thường trên cổng xác thực và dịch vụ mạng.
- Tăng cường giám sát mạng (SIEM/EDR) để phát hiện hành vi RCE tiềm ẩn.
Đối với người dùng doanh nghiệp:
- Không trì hoãn cập nhật hệ thống, kể cả những máy đang chạy ổn định.
- Không kết nối vào mạng nội bộ qua VPN từ thiết bị chưa được vá.
- Nếu có dấu hiệu lạ (mất quyền truy cập, phần mềm tự chạy), liên hệ ngay bộ phận CNTT.
WhiteHat