Chuỗi zero-day trong Windows RasMan mở đường cho tin tặc chiếm toàn quyền hệ thống

[WhiteHat Team]

Một lỗ hổng trong hệ điều hành Windows vừa được các nhà nghiên cứu an ninh mạng phát hiện, cho phép kẻ tấn công cục bộ chiếm toàn quyền điều khiển hệ thống với đặc quyền cao nhất - quyền System. Điều đáng lo ngại không chỉ nằm ở bản thân lỗ hổng mà còn ở cách nó bị khai thác thông qua một chuỗi tấn công phức tạp, kết hợp giữa lỗ hổng đã được Microsoft vá và một zero-day hoàn toàn chưa từng được công bố trước đó. Phát hiện này một lần nữa cho thấy các dịch vụ nền tưởng chừng “vô hình” trong Windows vẫn có thể trở thành mắt xích nguy hiểm nếu bị khai thác đúng cách.
​

​

Lỗ hổng chính được đề cập có mã CVE-2025-59230, tồn tại trong Windows Remote Access Connection Manager (RasMan), đây là một dịch vụ hệ thống chịu trách nhiệm quản lý các kết nối truy cập từ xa như VPN, quay số và một số cơ chế mạng đặc thù khác của Windows.

RasMan là một dịch vụ có mức độ tin cậy cao, được nhiều thành phần hệ thống và dịch vụ đặc quyền khác sử dụng. Khi khởi động, RasMan sẽ đăng ký một RPC endpoint (điểm giao tiếp từ xa) để các dịch vụ khác kết nối và gửi yêu cầu. Chính cơ chế này đã trở thành nền tảng cho lỗ hổng leo thang đặc quyền.

Theo phân loại, đây là một lỗ hổng Elevation of Privilege (EoP), cho phép kẻ tấn công từ một tài khoản người dùng thông thường nâng quyền lên mức System cao nhất trong Windows.

Các nền tảng bị ảnh hưởng bao gồm hầu hết các phiên bản Windows phổ biến:​

• Windows 10​
• Windows 11​
• Windows Server từ 2008 đến Server 2025​

Microsoft đã phát hành bản vá cho CVE-2025-59230 trong bản cập nhật bảo mật tháng 10/2025.

Trong quá trình nghiên cứu và phân tích CVE-2025-59230, các chuyên gia bảo mật của 0patch đã phát hiện ra rằng việc khai thác lỗ hổng này trên thực tế không hề đơn giản như mô tả ban đầu. Vấn đề nằm ở chỗ RasMan gần như luôn được khởi động tự động ngay từ khi hệ thống Windows bật lên. Điều này khiến kẻ tấn công không có “khoảng trống thời gian” để lợi dụng việc đăng ký RPC endpoint trước RasMan, vốn là điều kiện tiên quyết để khai thác CVE-2025-59230.

Tuy nhiên, trong quá trình đào sâu, các nhà nghiên cứu của 0patch lại phát hiện ra một lỗ hổng thứ hai, hoàn toàn chưa được vá, cho phép người dùng không có đặc quyền chủ động làm sập dịch vụ RasMan. Chính lỗ hổng zero-day này đã biến một kịch bản khai thác “khó khả thi” thành một chuỗi tấn công hoàn chỉnh và nguy hiểm trong thực tế.​

Nguyên nhân kỹ thuật: Chuỗi khai thác hoạt động ra sao?​

Chuỗi tấn công bắt đầu từ lỗ hổng zero-day chưa có mã CVE chính thức, nằm trong logic xử lý nội bộ của RasMan. Cụ thể, dịch vụ này sử dụng một danh sách liên kết vòng để quản lý các cấu trúc dữ liệu nhất định.

Do lỗi lập trình, trong một số tình huống nhất định, RasMan không kiểm tra đầy đủ giá trị NULL pointer khi duyệt danh sách này. Kết quả là dịch vụ sẽ truy cập vào vùng nhớ không hợp lệ, gây ra memory access violation và khiến RasMan bị crash.

Quy trình khai thác diễn ra theo trình tự như sau:​

• Kẻ tấn công, dù chỉ có quyền người dùng thông thường, kích hoạt lỗi logic để làm sập dịch vụ RasMan.​
• Khi RasMan dừng hoạt động, RPC endpoint mà nó đăng ký trước đó sẽ bị giải phóng.​
• Ngay lập tức, tiến trình độc hại của kẻ tấn công đăng ký RPC endpoint này trước khi RasMan khởi động lại.​
• Các dịch vụ hệ thống khác, vốn tin tưởng endpoint của RasMan, sẽ kết nối nhầm vào tiến trình do kẻ tấn công kiểm soát.​
• Thông qua kênh giao tiếp này, mã độc có thể được thực thi với đặc quyền System.​

Điểm nguy hiểm nhất nằm ở chỗ các dịch vụ hệ thống hoàn toàn không nhận biết được rằng chúng đang “nói chuyện nhầm người”. Việc chiếm được quyền System đồng nghĩa với việc kẻ tấn công có toàn quyền:​

• Cài đặt mã độc ở mức sâu trong hệ thống​
• Vô hiệu hóa phần mềm bảo mật​
• Truy cập và thay đổi mọi dữ liệu​
• Tạo backdoor tồn tại lâu dài​
• Chuẩn bị cho các cuộc tấn công tiếp theo như đánh cắp thông tin, gián điệp hoặc phá hoại​

Dù đây là lỗ hổng yêu cầu quyền truy cập cục bộ, nhưng trong các kịch bản thực tế, nó đặc biệt nguy hiểm khi kết hợp với:​

• Mã độc đã xâm nhập ban đầu​
• Người dùng bị lừa chạy file độc hại​
• Tấn công chuỗi cung ứng nội bộ​
• Môi trường máy chủ, máy trạm doanh nghiệp​

Trong môi trường doanh nghiệp hoặc hạ tầng quan trọng, một điểm leo thang đặc quyền như vậy có thể trở thành bàn đạp cho việc chiếm toàn bộ hệ thống.

Microsoft đã vá CVE-2025-59230 trong bản cập nhật bảo mật tháng 10/2025. Tuy nhiên, tại thời điểm 0patch công bố nghiên cứu, lỗ hổng gây crash RasMan vẫn chưa được Microsoft vá chính thức.

Để giảm thiểu rủi ro, 0patch đã phát hành micropatch nhằm chặn vector tấn công này trên các phiên bản Windows được hỗ trợ, bao gồm cả Windows 11 và Windows Server 2025.

Các chuyên gia an ninh mạng WhiteHat khuyến cáo:​

• Cài đặt đầy đủ bản cập nhật Windows tháng 10/2025 trở lên càng sớm càng tốt​
• Đánh giá khả năng áp dụng micropatch của 0patch trong thời gian chờ bản vá chính thức​
• Giám sát các sự kiện bất thường liên quan đến dịch vụ RasMan​
• Hạn chế tối đa quyền người dùng thông thường trên các hệ thống quan trọng​
• Kết hợp các giải pháp EDR/XDR để phát hiện hành vi leo thang đặc quyền​

Những dịch vụ nền ít được chú ý nhất cũng có thể trở thành điểm khởi phát cho các cuộc tấn công nghiêm trọng, nếu tồn tại lỗi logic và bị kết hợp khéo léo trong chuỗi khai thác. Không chỉ là câu chuyện về một lỗ hổng đơn lẻ, đây còn là bài học về cách các attacker hiện đại tận dụng nhiều điểm yếu nhỏ để tạo thành một tấn công hoàn chỉnh, vượt qua các giả định an toàn ban đầu. Trong bối cảnh đó, việc cập nhật hệ thống kịp thời, theo dõi nghiên cứu từ cộng đồng bảo mật và chủ động đánh giá rủi ro vẫn là yếu tố then chốt giúp người dùng và tổ chức bảo vệ hệ thống của mình trước các mối đe dọa ngày càng tinh vi.​

WhiteHat​