-
09/04/2020
-
118
-
1.249 bài viết
Elastic Defend dính lỗ hổng nghiêm trọng cho phép xóa tệp và leo thang đặc quyền
Elastic vừa phát hành bản vá để khắc phục một lỗ hổng nghiêm trọng trong Elastic Defend, thành phần bảo vệ điểm cuối thuộc bộ Elastic Security. Lỗi bảo mật này, được định danh CVE-2025-37735, xuất phát từ việc bảo toàn quyền truy cập không chính xác, khiến dịch vụ Defend khi chạy với quyền SYSTEM có thể xóa tệp trên máy Windows. Trong một số trường hợp, kẻ tấn công có thể lợi dụng hành vi này để leo thang đặc quyền cục bộ và chiếm quyền kiểm soát toàn bộ hệ thống.
Lỗ hổng CVE-2025-37735 được đánh giá mức cao với điểm CVSS 7.0, cho thấy khả năng gây ảnh hưởng trực tiếp đến tính toàn vẹn và bảo mật của hệ thống. Khi một tiến trình bảo mật được cấp quyền cao nhất lại có thể bị thao túng để xóa tệp tùy ý, rủi ro không chỉ dừng ở việc mất dữ liệu mà còn mở ra cơ hội cho kẻ tấn công chiếm toàn quyền trên thiết bị. Trong bối cảnh nhiều doanh nghiệp sử dụng Elastic Defend làm lớp phòng vệ tuyến đầu, việc lỗ hổng này bị khai thác có thể khiến toàn bộ hạ tầng nội bộ bị tê liệt.
Elastic xác nhận các nhánh 8.x và 9.x đều bị ảnh hưởng. Hãng khuyến nghị người dùng nâng cấp ngay lên các phiên bản đã được vá gồm 8.19.6, 9.1.6 hoặc 9.2.0. Việc trì hoãn cập nhật sẽ khiến hệ thống dễ bị khai thác hơn, đặc biệt nếu kẻ tấn công đã có quyền truy cập ban đầu thông qua các phương thức khác như lừa đảo hoặc khai thác lỗ hổng trung gian. Bản vá mới được thiết kế để khắc phục lỗi trong cơ chế quản lý quyền, giúp ngăn dịch vụ Defend bị lợi dụng để xóa tệp hệ thống.
Đối với những môi trường chưa thể cập nhật ngay, Elastic khuyến nghị triển khai tạm thời Defend trên Windows 11 phiên bản 24H2 hoặc mới hơn. Microsoft đã bổ sung cơ chế kiểm soát truy cập chặt chẽ hơn trong phiên bản này, khiến việc khai thác trở nên khó khăn hơn. Tuy vậy, đây chỉ là biện pháp tạm thời chứ không thể thay thế bản vá chính thức, nên các tổ chức vẫn cần ưu tiên cập nhật sớm để đảm bảo an toàn hệ thống.
Các tổ chức nên sớm kiểm tra toàn bộ hệ thống, xác định máy nào đang chạy Elastic Defend và đánh giá nguy cơ bị khai thác. Nếu phát hiện dấu hiệu xóa tệp bất thường, cần cô lập thiết bị và khôi phục từ bản sao lưu sạch. Đồng thời, việc siết chặt phân quyền người dùng và duy trì quy trình cập nhật phần mềm đều đặn sẽ giúp giảm rủi ro tái diễn trong tương lai.
CVE-2025-37735 một lần nữa cho thấy ranh giới giữa công cụ phòng thủ và điểm yếu bảo mật đôi khi rất mong manh. Trong môi trường an ninh mạng ngày càng phức tạp, việc phản ứng nhanh, cập nhật kịp thời và duy trì giám sát chủ động vẫn là yếu tố then chốt giúp tổ chức đứng vững trước những mối đe dọa mới.
Lỗ hổng CVE-2025-37735 được đánh giá mức cao với điểm CVSS 7.0, cho thấy khả năng gây ảnh hưởng trực tiếp đến tính toàn vẹn và bảo mật của hệ thống. Khi một tiến trình bảo mật được cấp quyền cao nhất lại có thể bị thao túng để xóa tệp tùy ý, rủi ro không chỉ dừng ở việc mất dữ liệu mà còn mở ra cơ hội cho kẻ tấn công chiếm toàn quyền trên thiết bị. Trong bối cảnh nhiều doanh nghiệp sử dụng Elastic Defend làm lớp phòng vệ tuyến đầu, việc lỗ hổng này bị khai thác có thể khiến toàn bộ hạ tầng nội bộ bị tê liệt.
Elastic xác nhận các nhánh 8.x và 9.x đều bị ảnh hưởng. Hãng khuyến nghị người dùng nâng cấp ngay lên các phiên bản đã được vá gồm 8.19.6, 9.1.6 hoặc 9.2.0. Việc trì hoãn cập nhật sẽ khiến hệ thống dễ bị khai thác hơn, đặc biệt nếu kẻ tấn công đã có quyền truy cập ban đầu thông qua các phương thức khác như lừa đảo hoặc khai thác lỗ hổng trung gian. Bản vá mới được thiết kế để khắc phục lỗi trong cơ chế quản lý quyền, giúp ngăn dịch vụ Defend bị lợi dụng để xóa tệp hệ thống.
Đối với những môi trường chưa thể cập nhật ngay, Elastic khuyến nghị triển khai tạm thời Defend trên Windows 11 phiên bản 24H2 hoặc mới hơn. Microsoft đã bổ sung cơ chế kiểm soát truy cập chặt chẽ hơn trong phiên bản này, khiến việc khai thác trở nên khó khăn hơn. Tuy vậy, đây chỉ là biện pháp tạm thời chứ không thể thay thế bản vá chính thức, nên các tổ chức vẫn cần ưu tiên cập nhật sớm để đảm bảo an toàn hệ thống.
Các tổ chức nên sớm kiểm tra toàn bộ hệ thống, xác định máy nào đang chạy Elastic Defend và đánh giá nguy cơ bị khai thác. Nếu phát hiện dấu hiệu xóa tệp bất thường, cần cô lập thiết bị và khôi phục từ bản sao lưu sạch. Đồng thời, việc siết chặt phân quyền người dùng và duy trì quy trình cập nhật phần mềm đều đặn sẽ giúp giảm rủi ro tái diễn trong tương lai.
CVE-2025-37735 một lần nữa cho thấy ranh giới giữa công cụ phòng thủ và điểm yếu bảo mật đôi khi rất mong manh. Trong môi trường an ninh mạng ngày càng phức tạp, việc phản ứng nhanh, cập nhật kịp thời và duy trì giám sát chủ động vẫn là yếu tố then chốt giúp tổ chức đứng vững trước những mối đe dọa mới.
Theo Security Online