Patch Tuesday cuối 2025: Microsoft vá 56 lỗi, 3 zero-day bị khai thác

[WhiteHat Team]

Microsoft vừa phát hành bản cập nhật Patch Tuesday cuối cùng của năm 2025 với tổng cộng 56 lỗ hổng bảo mật được khắc phục trên Windows, Office, Exchange Server và nhiều thành phần quan trọng khác. Điều đáng chú ý là ba trong số đó là lỗ hổng zero-day, bao gồm hai lỗi thực thi mã từ xa (RCE) đã bị công bố công khai và một lỗi leo thang đặc quyền (EoP) đang bị khai thác tích cực. Trong bối cảnh cuối năm là thời điểm các doanh nghiệp giảm tốc hoạt động CNTT, nguy cơ bị tấn công mạng tăng cao hơn, việc cập nhật vá lỗi trở thành yêu cầu cấp thiết.

​

Bản vá tháng 12/2025 của Microsoft xử lý 56 lỗ hổng thuộc nhiều loại khác nhau. Phần lớn là lỗi leo thang đặc quyền, đây là nhóm lỗ hổng rất nguy hiểm vì cho phép tin tặc chiếm quyền điều khiển hệ thống sau khi xâm nhập ban đầu. Các sản phẩm bị ảnh hưởng trải rộng từ Windows 10/11/Server, các ứng dụng Microsoft Office (Word, Excel, Outlook), Exchange Server, Hyper-V, Azure Monitor Agent, PowerShell, cho đến công cụ bên thứ ba như GitHub Copilot for JetBrains.

Bảng phân loại lỗ hổng theo loại:

• Remote Code Execution (RCE): 19 lỗi
• Elevation of Privilege (EoP): 28 lỗi
• Information Disclosure: 4 lỗi
• Denial of Service: 3 lỗi
• Spoofing: 2 lỗi

Đây đều là các nhóm lỗ hổng có khả năng gây tổn hại nghiêm trọng nếu tin tặc khai thác để xâm nhập, lan truyền hoặc phá hoại hệ thống.

Ba lỗ hổng zero-day nổi bật​

Trong số 56 lỗ hổng, ba zero-day được đặc biệt chú ý:

1. CVE-2025-62221: Windows Cloud Files Mini Filter Driver (EoP) đang bị khai thác​

• Loại: Elevation of Privilege
• Mức độ: Important
• Trạng thái: Bị khai thác thực tế (exploited in the wild)
• Mô tả: Lỗi use-after-free cho phép tin tặc giành quyền truy cập cao hơn trên thiết bị Windows.
• Nguy cơ: Rất cao vì các nhóm tấn công thường dùng EoP kết hợp với RCE để giành quyền toàn hệ thống.

2. CVE-2025-64671: GitHub Copilot for JetBrains (RCE)​

• Loại: Remote Code Execution
• Mức độ: Important
• Trạng thái: Publicly disclosed
• Mô tả: Lỗi command injection dẫn đến thực thi mã trái phép.
• Nguy cơ: RCE trong môi trường lập trình có thể mở đường cho trojan, mã độc giả lập công cụ hỗ trợ lập trình.

3. CVE-2025-54100: PowerShell (RCE)​

• Loại: Remote Code Execution
• Mức độ: Important
• Mô tả: Lỗi chèn lệnh cho phép thực thi mã độc thông qua PowerShell – công cụ quản trị hệ thống phổ biến.
• Nguy cơ: Cao, vì PowerShell là kênh bị lạm dụng hàng đầu trong các chiến dịch tấn công hiện nay.

Các lỗ hổng quan trọng khác​

Bên cạnh zero-day, bản vá còn có nhiều lỗi nghiêm trọng trên Office:

• CVE-2025-62554 và CVE-2025-62557: Lỗ hổng RCE trong Microsoft Office (Critical)
  Chỉ cần mở một tài liệu Office độc hại, nạn nhân đã có thể bị chiếm quyền hệ thống.

Ngoài ra còn hàng loạt lỗi trong Windows Kernel, Win32k, ReFS, RRAS, Exchange Server… nhiều lỗi trong số đó được Microsoft đánh dấu “More Likely to be Exploited”.

Các lỗ hổng RCE (Remote Code Execution) thường là mục tiêu hàng đầu vì chỉ cần một email chứa tài liệu Office độc hại hoặc một gói tin mạng crafted, tin tặc có thể thực thi mã trên thiết bị nạn nhân mà không cần tương tác nhiều.

Lỗi EoP dù nghe có vẻ ít nguy hiểm hơn, nhưng thực tế là nền tảng cho mọi cuộc tấn công: Sau khi xâm nhập ban đầu, tin tặc cần EoP để leo thang thành quyền quản trị. Nhiều chiến dịch ransomware và APT dùng chính các lỗi EoP để chiếm quyền Domain Admin. Các lỗi Information Disclosure và Spoofing, dù ít nghiêm trọng hơn, vẫn tạo điều kiện thu thập thông tin để chuẩn bị tấn công có chủ đích.

Rủi ro và hậu quả đối với người dùng và doanh nghiệp​

Nếu bị khai thác, hậu quả có thể bao gồm:

• Chiếm quyền điều khiển hoàn toàn hệ thống Windows
• Cài đặt mã độc, ransomware, trojan truy cập từ xa
• Đánh cắp dữ liệu nhạy cảm, tài liệu nội bộ, email
• Lateral movement: Lan rộng sang các máy trong cùng mạng
• Nguy cơ bị gián đoạn hoạt động kinh doanh, mất dữ liệu và thiệt hại tài chính

Đặc biệt, thời điểm cuối năm là giai đoạn nhiều tổ chức trì hoãn cập nhật để tránh ảnh hưởng hoạt động, vô tình tạo “khoảng trống an ninh” cho hacker.

Khuyến nghị và giải pháp bảo vệ​

Các chuyên gia an ninh mạng đưa ra những khuyến nghị sau:

• Cập nhật ngay lập tức thông qua Windows Update hoặc Microsoft Update Catalog.
• Ưu tiên bản vá zero-day và các lỗi được đánh dấu “More Likely to be Exploited”.
• Kiểm tra thiết bị đang chạy Windows 10 và kích hoạt Extended Security Updates nếu hệ điều hành đã hết vòng đời hỗ trợ.
• Theo dõi CISA KEV (Known Exploited Vulnerabilities) để biết các lỗ hổng xuất hiện trong tấn công thực tế.
• Tách biệt mạng nội bộ nhằm hạn chế khả năng leo thang và di chuyển ngang.
• Giám sát hành vi bất thường trong PowerShell, Office và các tiến trình Windows Kernel.
• Tăng cường kiểm soát email và lọc tài liệu Office độc hại.

Bản vá Patch Tuesday tháng 12/2025 cho thấy hệ sinh thái Microsoft tiếp tục là mục tiêu trọng yếu của tin tặc, đặc biệt thông qua các lỗ hổng RCE và EoP. Việc có một lỗ hổng zero-day đang bị khai thác tích cực là lời nhắc nhở mạnh mẽ rằng các tổ chức không thể trì hoãn cập nhật bảo mật, nhất là trong giai đoạn cuối năm. Chủ động vá lỗi, giám sát hệ thống và áp dụng biện pháp phòng vệ nhiều lớp sẽ là yếu tố then chốt giúp giảm thiểu rủi ro trước các chiến dịch tấn công ngày càng tinh vi.

WhiteHat​