Ba lỗ hổng GDI trên Windows, mở file ảnh là bị chiếm quyền từ xa

[WhiteHat Team]

Một nhóm nghiên cứu an ninh mạng mới đây đã phát hiện ba lỗ hổng nghiêm trọng trong GDI (Graphics Device Interface), một thành phần cốt lõi của Windows chịu trách nhiệm hiển thị hình ảnh và văn bản.

​

Những lỗi này, được định danh lần lượt là CVE-2025-30388, CVE-2025-53766 và CVE-2025-47984, được phát hiện thông qua chiến dịch kiểm thử “fuzzing” chuyên sâu nhắm vào định dạng EMF+ (Enhanced Metafile Format Plus), định dạng được Windows sử dụng để lưu trữ hình ảnh vector. Nghe có vẻ xa xôi, nhưng thực tế đây là loại lỗi mà hacker có thể lợi dụng chỉ bằng cách khiến người dùng mở hoặc xem một tệp hình ảnh độc hại, từ đó chiếm quyền điều khiển hệ thống hoặc đánh cắp dữ liệu.

Cả ba lỗi đều bắt nguồn từ cách GDI xử lý vùng nhớ không an toàn khi hiển thị hình ảnh:

• CVE-2025-30388 liên quan đến việc Windows không kiểm tra đúng thông số của hình chữ nhật (RECT) trong tệp EMF+, dẫn tới ghi tràn bộ nhớ (heap corruption). Lỗ hổng này được đánh giá là dễ bị khai thác, có thể dẫn đến việc thực thi mã độc từ xa khi người dùng mở tệp hình ảnh chứa dữ liệu lỗi.
• CVE-2025-53766 còn nguy hiểm hơn, lỗi ghi dữ liệu vượt khỏi vùng cấp phát khi xử lý các hình ảnh có định dạng bất thường, cho phép tin tặc chạy mã từ xa mà không cần tương tác của người dùng, ví dụ: Qua hình ảnh tải về từ email, trình duyệt hoặc ứng dụng mạng nội bộ.
• CVE-2025-47984 là hậu quả của một bản vá cũ (CVE-2022-35837) chưa triệt để. Thay vì bị tấn công toàn quyền, người dùng có thể bị rò rỉ dữ liệu trong bộ nhớ, tạo điều kiện cho các cuộc tấn công tiếp theo.

Microsoft đã phát hành bản vá trong các gói cập nhật bảo mật tháng 5, 7 và 8/2025, đồng thời bổ sung cơ chế kiểm tra dữ liệu đầu vào và giới hạn biên bộ nhớ trong các tệp EMF+.

Những lỗ hổng này ảnh hưởng đến mọi phiên bản Windows vẫn còn sử dụng thư viện GDIPlus.dll và gdi32full.dll, tức là từ Windows 10 đến Windows 11, cũng như nhiều máy chủ Windows Server.

Tin tặc có thể lợi dụng để:

• Tạo tệp hình ảnh độc hại, khiến người dùng chỉ cần mở tệp là bị xâm nhập.
• Cài cắm mã độc trong quá trình xem hình hoặc xử lý ảnh (thậm chí khi chỉ hiển thị thumbnail).
• Khai thác từ xa qua email, trình duyệt hoặc phần mềm hiển thị tài liệu.

Đối với doanh nghiệp, đây là rủi ro lớn vì GDI là thành phần được sử dụng trong hàng nghìn ứng dụng văn phòng, đồ họa, trình xem PDF hay hệ thống quản lý tài liệu nội bộ.

GDI là một phần trong hệ thống Windows tồn tại hơn 25 năm, được xây dựng trước thời kỳ khái niệm “an toàn bộ nhớ” phổ biến. Những đoạn mã cũ chưa được viết lại hoặc kiểm thử bằng kỹ thuật hiện đại như “fuzzing” dễ chứa lỗi ghi tràn bộ nhớ (dạng lỗi chiếm đến hơn 70% các khai thác nghiêm trọng trên Windows trong thập kỷ qua). Việc “vá nối vá chồng” mà không xử lý tận gốc khiến nguy cơ tái xuất hiện, như trường hợp của CVE-2025-47984.

Để giảm rủi ro, các chuyên gia khuyến cáo người dùng và doanh nghiệp nên:

• Cập nhật Windows ngay với các bản vá bảo mật tháng 5, 7 và 8/2025 (KB5058411, KB5062553, KB5063878).
• Không mở hoặc tải tệp hình ảnh, tài liệu lạ từ nguồn không tin cậy.
• Kích hoạt Windows Defender hoặc phần mềm bảo mật có khả năng phát hiện tệp EMF/EMF+ độc hại.
• Doanh nghiệp cần triển khai chính sách kiểm thử fuzzing nội bộ và rà soát các ứng dụng tự phát triển có sử dụng GDI hoặc EMF.

WhiteHat​