-
09/04/2020
-
95
-
763 bài viết
Bản vá Symlink Exploit của Microsoft vô tình tạo ra lỗ hổng DoS mới trên Windows
Microsoft đã phát hành bản vá cho lỗ hổng bảo mật CVE-2025-21204, nhưng bản vá này lại tạo ra một lỗ hổng từ chối dịch vụ (DoS) mới trong cơ chế cập nhật Windows. Lỗ hổng này cho phép người dùng không có quyền quản trị thay đổi quyền truy cập của thư mục "inetpub", gây gián đoạn quá trình cập nhật bảo mật.
Kẻ tấn công có thể lợi dụng lỗ hổng này để ngăn chặn các bản cập nhật bảo mật, khiến hệ thống dễ bị tấn công trong tương lai. Lỗ hổng này có thể bị khai thác thông qua các chiến dịch lừa đảo (phishing) mà không cần quyền quản trị.
Trước đây, để vá lỗ hổng bảo mật (CVE-2025–21204) trong hệ điều hành Windows, Microsoft đã bắt đầu tạo một thư mục trống có tên “inetpub” tại thư mục gốc của hệ thống. Đây là thư mục thường được sử dụng bởi Internet Information Services (IIS) để lưu trữ tệp website, nhưng việc nó xuất hiện mà không có bất kỳ thông báo nào khiến nhiều người dùng lầm tưởng là lỗi và tự ý xóa bỏ.
Microsoft sau đó đã xác nhận rằng thư mục này đóng vai trò quan trọng trong quá trình cài đặt các bản vá bảo mật. Nếu người dùng xóa nó, cơ chế cập nhật của Windows sẽ bị gián đoạn, khiến các bản vá tiếp theo không thể được cài đặt. Việc tự tạo lại thư mục này cũng không có tác dụng, vì nó cần có thiết lập phân quyền đặc biệt và phải được IIS tạo ra một cách tự động.
Các chuyên gia bảo mật sau đó đã cho rằng phương pháp vá lỗi này tiềm ẩn một lỗ hổng nghiêm trọng. Cụ thể, người dùng không có quyền quản trị (non-admin) cũng có thể lợi dụng cơ chế này để ngăn máy tính nhận các bản vá bảo mật, mà không cần leo thang đặc quyền.
Vì không cần quyền admin, tin tặc hoàn toàn có thể dụ người dùng doanh nghiệp chạy đoạn lệnh trên qua email lừa đảo (phishing). Một khi bị khai thác, máy tính mục tiêu sẽ không còn nhận các bản cập nhật bảo mật, trở thành mục tiêu lý tưởng cho các đợt tấn công sau này.
Cơ chế vá lỗi này của Microsoft, bị đánh giá là kém tinh tế- có lẽ là lý do vì sao Microsoft không hề đề cập đến thư mục "inetpub" trong ghi chú cập nhật. Nếu công khai, thông tin này có thể giúp kẻ tấn công khai thác dễ dàng hơn.
Thư mục "inetpub" ảnh hưởng đến tất cả các phiên bản Windows còn được hỗ trợ, từ Windows Server 2008 R2 đến Windows 11. Trên bất kỳ hệ thống nào vẫn đang nhận cập nhật, thư mục này phải được giữ nguyên cùng với phân quyền chính xác, nếu không quá trình cập nhật có thể thất bại và tự động hoàn tác.
Khuyến cáo được đưa ra cho người dùng:
Kẻ tấn công có thể lợi dụng lỗ hổng này để ngăn chặn các bản cập nhật bảo mật, khiến hệ thống dễ bị tấn công trong tương lai. Lỗ hổng này có thể bị khai thác thông qua các chiến dịch lừa đảo (phishing) mà không cần quyền quản trị.
Trước đây, để vá lỗ hổng bảo mật (CVE-2025–21204) trong hệ điều hành Windows, Microsoft đã bắt đầu tạo một thư mục trống có tên “inetpub” tại thư mục gốc của hệ thống. Đây là thư mục thường được sử dụng bởi Internet Information Services (IIS) để lưu trữ tệp website, nhưng việc nó xuất hiện mà không có bất kỳ thông báo nào khiến nhiều người dùng lầm tưởng là lỗi và tự ý xóa bỏ.
Microsoft sau đó đã xác nhận rằng thư mục này đóng vai trò quan trọng trong quá trình cài đặt các bản vá bảo mật. Nếu người dùng xóa nó, cơ chế cập nhật của Windows sẽ bị gián đoạn, khiến các bản vá tiếp theo không thể được cài đặt. Việc tự tạo lại thư mục này cũng không có tác dụng, vì nó cần có thiết lập phân quyền đặc biệt và phải được IIS tạo ra một cách tự động.
Các chuyên gia bảo mật sau đó đã cho rằng phương pháp vá lỗi này tiềm ẩn một lỗ hổng nghiêm trọng. Cụ thể, người dùng không có quyền quản trị (non-admin) cũng có thể lợi dụng cơ chế này để ngăn máy tính nhận các bản vá bảo mật, mà không cần leo thang đặc quyền.
Vì không cần quyền admin, tin tặc hoàn toàn có thể dụ người dùng doanh nghiệp chạy đoạn lệnh trên qua email lừa đảo (phishing). Một khi bị khai thác, máy tính mục tiêu sẽ không còn nhận các bản cập nhật bảo mật, trở thành mục tiêu lý tưởng cho các đợt tấn công sau này.
Cơ chế vá lỗi này của Microsoft, bị đánh giá là kém tinh tế- có lẽ là lý do vì sao Microsoft không hề đề cập đến thư mục "inetpub" trong ghi chú cập nhật. Nếu công khai, thông tin này có thể giúp kẻ tấn công khai thác dễ dàng hơn.
Thư mục "inetpub" ảnh hưởng đến tất cả các phiên bản Windows còn được hỗ trợ, từ Windows Server 2008 R2 đến Windows 11. Trên bất kỳ hệ thống nào vẫn đang nhận cập nhật, thư mục này phải được giữ nguyên cùng với phân quyền chính xác, nếu không quá trình cập nhật có thể thất bại và tự động hoàn tác.
Khuyến cáo được đưa ra cho người dùng:
- Không xóa thư mục "inetpub": Người dùng không nên xóa hoặc thay đổi quyền truy cập của thư mục "inetpub" để tránh gián đoạn quá trình cập nhật Windows
- Giám sát hệ thống: Thực hiện giám sát hệ thống để phát hiện sớm các hoạt động bất thường liên quan đến thư mục "inetpub" và quá trình cập nhật Windows
- Liên hệ với Microsoft: Báo cáo lỗ hổng này cho Microsoft và theo dõi các bản vá hoặc hướng dẫn khắc phục từ Microsoft để đảm bảo hệ thống được bảo vệ
Theo Security Online