-
09/04/2020
-
122
-
1.258 bài viết
Cảnh báo: Lỗ hổng Zoom VDI cho phép leo thang đặc quyền
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Zoom Workplace VDI Client cho Windows, có khả năng cho phép người dùng với quyền hạn thấp trên hệ thống nâng quyền và chiếm quyền kiểm soát toàn bộ hệ thống mục tiêu. Lỗ hổng có mã định danh CVE-2025-64740, Zoom phát hành bản tin ZSB-25042 kèm theo đánh giá mức độ nguy cơ với điểm CVSS 7.5, cho thấy mức rủi ro cao đối với môi trường doanh nghiệp.
CVE-2025-64740 phát sinh từ sai sót trong quy trình kiểm tra tính toàn vẹn và xác thực chữ ký của các thành phần cài đặt, tạo điều kiện cho việc chèn và thực thi thành phần không được tin cậy trong quá trình cài đặt hoặc cập nhật cục bộ. Kẻ tấn công cần có quyền truy cập cục bộ và sự tương tác của người dùng để kích hoạt chuỗi khai thác, nhưng một khi khai thác thành công, kẻ tấn công sẽ được quyền hệ thống, có thể chạy mã ở mức cao nhất và chiếm toàn quyền trên máy ảo hoặc máy chủ VDI.
CVE-2025-64740 ảnh hưởng các phiên bản Zoom Workplace VDI Client cho Windows trong các khoảng: từ 6.3.0 đến 6.3.13, từ 6.4.0 đến 6.4.11 và từ 6.5.0 đến 6.5.9. Quản trị viên nên mở ứng dụng Zoom trên từng endpoint, vào menu Help để kiểm tra phiên bản và xác định thiết bị nằm trong khoảng nào, từ đó lập kế hoạch vá phù hợp và ưu tiên các hệ thống chứa dữ liệu nhạy cảm.
Mặc dù khai thác yêu cầu quyền truy cập cục bộ, nhưng CVE-2025-64740 trở nên đặc biệt nguy hiểm trong môi trường VDI vì những nền tảng này tập trung nhiều người dùng và dữ liệu nhạy cảm. Một tài khoản người dùng bị xâm phạm có thể trở thành điểm nhảy để di chuyển ngang trong hạ tầng, leo thang quyền trên các máy ảo, truy cập kho dữ liệu nội bộ hoặc gây gián đoạn dịch vụ. Với tổ chức có nhiều endpoint VDI và chính sách phân quyền thiếu chặt chẽ, hậu quả có thể lan rộng và gây tổn thất về tài chính, pháp lý và uy tín.
Zoom khuyến nghị tất cả người dùng và quản trị viên cập nhật ngay lên phiên bản mới nhất được cung cấp trên trang tải chính thức của Zoom. Ngoài việc vá phần mềm, tổ chức nên rà soát chính sách bảo mật endpoint, áp dụng nguyên tắc least privilege với tài khoản người dùng, bật cơ chế kiểm soát ứng dụng và giám sát hành vi cài đặt phần mềm, đồng thời tăng cường giám sát nhật ký trên các máy chủ VDI để phát hiện hành vi bất thường liên quan tới tiến trình cài đặt hoặc cập nhật. Việc triển khai bản vá theo lộ trình ưu tiên cho các hệ thống chứa dữ liệu nhạy cảm hoặc được dùng bởi các nhóm có quyền truy cập cao nên được thực hiện trước.
Quản trị viên có thể tạm thời giảm thiểu rủi ro bằng cách hạn chế quyền cài đặt phần mềm cho các tài khoản không cần thiết, áp dụng chính sách chỉ cho phép ứng dụng được phép chạy trên endpoint và kiểm tra chữ ký số của các gói cài đặt trước khi triển khai thủ công trong môi trường quản lý chặt chẽ. Đồng thời, cần xác minh nguồn tải về qua kênh chính thức và đối chiếu checksum hoặc chữ ký do Zoom cung cấp nếu có.
CVE-2025-64740 phát sinh từ sai sót trong quy trình kiểm tra tính toàn vẹn và xác thực chữ ký của các thành phần cài đặt, tạo điều kiện cho việc chèn và thực thi thành phần không được tin cậy trong quá trình cài đặt hoặc cập nhật cục bộ. Kẻ tấn công cần có quyền truy cập cục bộ và sự tương tác của người dùng để kích hoạt chuỗi khai thác, nhưng một khi khai thác thành công, kẻ tấn công sẽ được quyền hệ thống, có thể chạy mã ở mức cao nhất và chiếm toàn quyền trên máy ảo hoặc máy chủ VDI.
CVE-2025-64740 ảnh hưởng các phiên bản Zoom Workplace VDI Client cho Windows trong các khoảng: từ 6.3.0 đến 6.3.13, từ 6.4.0 đến 6.4.11 và từ 6.5.0 đến 6.5.9. Quản trị viên nên mở ứng dụng Zoom trên từng endpoint, vào menu Help để kiểm tra phiên bản và xác định thiết bị nằm trong khoảng nào, từ đó lập kế hoạch vá phù hợp và ưu tiên các hệ thống chứa dữ liệu nhạy cảm.
Mặc dù khai thác yêu cầu quyền truy cập cục bộ, nhưng CVE-2025-64740 trở nên đặc biệt nguy hiểm trong môi trường VDI vì những nền tảng này tập trung nhiều người dùng và dữ liệu nhạy cảm. Một tài khoản người dùng bị xâm phạm có thể trở thành điểm nhảy để di chuyển ngang trong hạ tầng, leo thang quyền trên các máy ảo, truy cập kho dữ liệu nội bộ hoặc gây gián đoạn dịch vụ. Với tổ chức có nhiều endpoint VDI và chính sách phân quyền thiếu chặt chẽ, hậu quả có thể lan rộng và gây tổn thất về tài chính, pháp lý và uy tín.
Zoom khuyến nghị tất cả người dùng và quản trị viên cập nhật ngay lên phiên bản mới nhất được cung cấp trên trang tải chính thức của Zoom. Ngoài việc vá phần mềm, tổ chức nên rà soát chính sách bảo mật endpoint, áp dụng nguyên tắc least privilege với tài khoản người dùng, bật cơ chế kiểm soát ứng dụng và giám sát hành vi cài đặt phần mềm, đồng thời tăng cường giám sát nhật ký trên các máy chủ VDI để phát hiện hành vi bất thường liên quan tới tiến trình cài đặt hoặc cập nhật. Việc triển khai bản vá theo lộ trình ưu tiên cho các hệ thống chứa dữ liệu nhạy cảm hoặc được dùng bởi các nhóm có quyền truy cập cao nên được thực hiện trước.
Quản trị viên có thể tạm thời giảm thiểu rủi ro bằng cách hạn chế quyền cài đặt phần mềm cho các tài khoản không cần thiết, áp dụng chính sách chỉ cho phép ứng dụng được phép chạy trên endpoint và kiểm tra chữ ký số của các gói cài đặt trước khi triển khai thủ công trong môi trường quản lý chặt chẽ. Đồng thời, cần xác minh nguồn tải về qua kênh chính thức và đối chiếu checksum hoặc chữ ký do Zoom cung cấp nếu có.
Theo Cyber Press