-
09/04/2020
-
110
-
1.034 bài viết
Hệ sinh thái Microsoft đối mặt với chuỗi lỗ hổng nghiêm trọng
Gần đây, một loạt lỗ hổng nghiêm trọng đã được phát hiện trên các sản phẩm chủ lực của Microsoft, từ Windows Server, Windows 10/11, Office, Teams đến Microsoft Entra ID. Các lỗ hổng này, dù thuộc nhiều loại khác nhau, đều tiềm ẩn rủi ro cao cho doanh nghiệp và người dùng cá nhân, đặc biệt trong bối cảnh môi trường mạng phức tạp và tấn công tinh vi gia tăng.
Khi khai thác lỗ hổng, kẻ tấn công có thể gửi một chuỗi yêu cầu RDP được thiết kế đặc biệt nhằm liên tục tiêu thụ bộ nhớ và tài nguyên xử lý của máy chủ đích. Điều này dẫn đến tình trạng treo hoặc khởi động lại dịch vụ Remote Desktop, khiến các phiên làm việc từ xa bị ngắt kết nối và người dùng không thể truy cập hệ thống.
Lỗ hổng ảnh hưởng đến nhiều phiên bản hệ điều hành bao gồm Windows Server từ 2008 R2 đến 2025 cùng Windows 10 và Windows 11 phiên bản 24H2. Với điểm CVSS 3.1 là 7.5, lỗ hổng này đặc biệt nguy hiểm đối với các máy chủ RDS có kết nối Internet công khai, nơi kẻ tấn công có thể quét và khai thác trực tiếp qua mạng. Microsoft đã phát hành các bản vá bảo mật KB5063880, KB5063878, KB5063875 và nhiều bản khác. Các chuyên gia khuyến nghị doanh nghiệp triển khai cập nhật ngay lập tức và áp dụng biện pháp giới hạn truy cập RDS từ mạng ngoài để giảm thiểu nguy cơ gián đoạn dịch vụ.
Lỗ hổng khai thác cách Windows xử lý các tệp shortcut (.lnk). Khi người dùng hoặc hệ thống truy cập tới một shortcut được chế tạo độc hại, Windows sẽ tự động kích hoạt quá trình xác thực NTLM nếu TargetPath của shortcut trỏ tới một tài nguyên từ xa. Trong kỹ thuật mới, kẻ tấn công đặt TargetPath tới một file thực thi nằm trên máy chủ do chúng kiểm soát, nhưng lại gán icon hiển thị từ một nguồn cục bộ. Thủ thuật này đánh lừa cơ chế kiểm tra của bản vá cũ, khiến quá trình xác thực NTLM vẫn diễn ra mà không bị chặn.
Khi quá trình NTLM handshake được khởi tạo, máy nạn nhân sẽ gửi hash của thông tin xác thực tới máy chủ của kẻ tấn công. Dữ liệu này có thể bị brute-force ngoại tuyến để khôi phục mật khẩu gốc hoặc được sử dụng trực tiếp trong các chiến dịch NTLM relay, mở ra khả năng leo thang đặc quyền và di chuyển ngang giữa các máy trong mạng nội bộ.
Microsoft đã xác nhận vấn đề và dự kiến phát hành bản vá khẩn cấp. Trong thời gian chờ đợi, các chuyên gia khuyến nghị doanh nghiệp triển khai biện pháp hạn chế NTLM ở tầng mạng, chẳng hạn chặn lưu lượng SMB/HTTP ra ngoài hoặc sử dụng các chính sách bảo mật NTLM nâng cao, nhằm giảm thiểu nguy cơ bị khai thác.
Khi người dùng truy cập vào một trang đăng nhập giả mạo, máy chủ AiTM sẽ gửi tới dịch vụ Microsoft Entra ID một chuỗi User-Agent đã bị thay đổi, khiến hệ thống xác định sai rằng thiết bị không hỗ trợ FIDO. Thay vì tiến hành xác thực bằng khóa bảo mật FIDO2/WebAuthn, hệ thống sẽ tự động chuyển sang phương thức xác thực dự phòng như Microsoft Authenticator, tin nhắn SMS hoặc mã OTP. Đây là những kênh có mức bảo mật thấp hơn và dễ bị chặn bắt trong môi trường tấn công mạng.
Lỗi đăng nhập (trái) và các tùy chọn dự phòng (phải)
Tại thời điểm chuyển đổi sang xác thực dự phòng, kẻ tấn công có thể đánh cắp cookie phiên hoặc token truy cập. Dữ liệu này cho phép chúng giành quyền truy cập hợp lệ vào tài khoản của nạn nhân mà không cần mật khẩu hay vượt qua thêm lớp xác thực. Khi đã kiểm soát phiên làm việc, tin tặc có thể triển khai các chiến dịch phishing nâng cao, di chuyển ngang trong hệ thống doanh nghiệp hoặc chiếm đoạt hoàn toàn danh tính số của người dùng.
CVE-2025-53730 nhắm mục tiêu vào Microsoft Office Visio. Dù được phân loại ở mức quan trọng thay vì Critical, lỗ hổng này vẫn tiềm ẩn rủi ro lớn, đặc biệt đối với các tổ chức sử dụng Visio để thiết kế sơ đồ, bản vẽ kỹ thuật hoặc luồng dữ liệu nghiệp vụ. Trong các môi trường này, chỉ một tệp Visio bị khai thác cũng có thể trở thành điểm khởi đầu cho một chiến dịch tấn công quy mô lớn.
Bản chất use-after-free của các lỗ hổng này cho phép kẻ tấn công thao túng bộ nhớ đã được giải phóng nhưng chưa được xóa sạch, từ đó ghi đè hoặc chèn dữ liệu độc hại. Kỹ thuật này có thể vô hiệu hóa các cơ chế bảo vệ bộ nhớ hiện đại, mở đường cho việc triển khai malware, đánh cắp dữ liệu nhạy cảm hoặc duy trì quyền truy cập lâu dài trên hệ thống bị xâm nhập. Trong môi trường doanh nghiệp, mức độ nguy hiểm càng gia tăng khi Microsoft Office thường được tích hợp sâu với các dịch vụ đám mây và hệ thống quản lý tài liệu.
Việc khai thác lỗ hổng yêu cầu tương tác từ phía người dùng và có độ phức tạp tương đối cao. Song điều này không làm giảm mức độ nghiêm trọng của sự cố bởi tấn công có thể dẫn đến chiếm đoạt tài khoản hợp lệ, mở đường cho việc lây lan sang các hệ thống hoặc dịch vụ liên quan khác. Trong môi trường doanh nghiệp hiện đại, Teams không chỉ là nền tảng nhắn tin mà còn là trung tâm kết nối với lịch biểu, tài liệu, SharePoint và các công cụ cộng tác khác, điều này khiến lỗ hổng này càng trở nên đáng lo ngại hơn bao giờ hết.
Sự xuất hiện đồng thời của các lỗ hổng trải rộng từ hạ tầng máy chủ, hệ điều hành, bộ ứng dụng văn phòng đến nền tảng cộng tác và xác thực danh tính cho thấy bề mặt tấn công của doanh nghiệp đang ngày càng mở rộng. Tin tặc không còn chỉ nhắm vào một điểm yếu đơn lẻ mà phối hợp khai thác nhiều mắt xích để xâm nhập và duy trì hiện diện lâu dài. Trong bối cảnh này, việc triển khai bản vá nhanh chóng, kết hợp với giám sát chủ động và kiểm thử an ninh định kỳ, không còn là lựa chọn mà là yêu cầu bắt buộc nếu tổ chức muốn bảo vệ dữ liệu, duy trì hoạt động và giữ vững niềm tin của khách hàng.
Lỗ hổng từ chối dịch vụ nghiêm trọng trong Windows Remote Desktop Services
Các nhà nghiên cứu bảo mật vừa cảnh báo về một lỗ hổng nghiêm trọng trong Windows Remote Desktop Services (RDS) cho phép kẻ tấn công thực hiện tấn công từ chối dịch vụ (DoS) hoàn toàn từ xa mà không cần xác thực hay tương tác từ phía người dùng. Nguyên nhân xuất phát từ cơ chế quản lý tài nguyên không kiểm soát trong tiến trình dịch vụ RDS, được phân loại theo tiêu chuẩn CWE-400 về tiêu thụ tài nguyên không giới hạn.Khi khai thác lỗ hổng, kẻ tấn công có thể gửi một chuỗi yêu cầu RDP được thiết kế đặc biệt nhằm liên tục tiêu thụ bộ nhớ và tài nguyên xử lý của máy chủ đích. Điều này dẫn đến tình trạng treo hoặc khởi động lại dịch vụ Remote Desktop, khiến các phiên làm việc từ xa bị ngắt kết nối và người dùng không thể truy cập hệ thống.
Lỗ hổng ảnh hưởng đến nhiều phiên bản hệ điều hành bao gồm Windows Server từ 2008 R2 đến 2025 cùng Windows 10 và Windows 11 phiên bản 24H2. Với điểm CVSS 3.1 là 7.5, lỗ hổng này đặc biệt nguy hiểm đối với các máy chủ RDS có kết nối Internet công khai, nơi kẻ tấn công có thể quét và khai thác trực tiếp qua mạng. Microsoft đã phát hành các bản vá bảo mật KB5063880, KB5063878, KB5063875 và nhiều bản khác. Các chuyên gia khuyến nghị doanh nghiệp triển khai cập nhật ngay lập tức và áp dụng biện pháp giới hạn truy cập RDS từ mạng ngoài để giảm thiểu nguy cơ gián đoạn dịch vụ.
Bypass NTLM trên Windows: Lộ hashes NTLM mà không cần tương tác
Các chuyên gia từ Cymulate vừa công bố một lỗ hổng nghiêm trọng dạng zero-click trên nền tảng Windows, cho phép kẻ tấn công trích xuất NTLM hashes mà không cần bất kỳ tương tác nào từ phía nạn nhân. Điểm đáng chú ý là cơ chế tấn công này vẫn hoạt động ngay cả trên các hệ thống đã áp dụng bản vá cho CVE-2025-24054, cho thấy các biện pháp khắc phục trước đây chưa xử lý triệt để vấn đề gốc rễ.Lỗ hổng khai thác cách Windows xử lý các tệp shortcut (.lnk). Khi người dùng hoặc hệ thống truy cập tới một shortcut được chế tạo độc hại, Windows sẽ tự động kích hoạt quá trình xác thực NTLM nếu TargetPath của shortcut trỏ tới một tài nguyên từ xa. Trong kỹ thuật mới, kẻ tấn công đặt TargetPath tới một file thực thi nằm trên máy chủ do chúng kiểm soát, nhưng lại gán icon hiển thị từ một nguồn cục bộ. Thủ thuật này đánh lừa cơ chế kiểm tra của bản vá cũ, khiến quá trình xác thực NTLM vẫn diễn ra mà không bị chặn.
Khi quá trình NTLM handshake được khởi tạo, máy nạn nhân sẽ gửi hash của thông tin xác thực tới máy chủ của kẻ tấn công. Dữ liệu này có thể bị brute-force ngoại tuyến để khôi phục mật khẩu gốc hoặc được sử dụng trực tiếp trong các chiến dịch NTLM relay, mở ra khả năng leo thang đặc quyền và di chuyển ngang giữa các máy trong mạng nội bộ.
Microsoft đã xác nhận vấn đề và dự kiến phát hành bản vá khẩn cấp. Trong thời gian chờ đợi, các chuyên gia khuyến nghị doanh nghiệp triển khai biện pháp hạn chế NTLM ở tầng mạng, chẳng hạn chặn lưu lượng SMB/HTTP ra ngoài hoặc sử dụng các chính sách bảo mật NTLM nâng cao, nhằm giảm thiểu nguy cơ bị khai thác.
Tấn công “downgrade” FIDO trên Microsoft Entra ID
Các nhà nghiên cứu của Proofpoint vừa công bố một kỹ thuật tấn công tinh vi nhằm hạ cấp quy trình xác thực không mật khẩu FIDO trên nền tảng Microsoft Entra ID. Lỗ hổng này biến một cơ chế vốn được coi là chuẩn mực chống phishing thành một điểm yếu có thể bị khai thác. Cốt lõi của phương thức tấn công nằm ở việc lợi dụng mô hình Adversary-in-the-Middle (AiTM) với các công cụ như Evilginx để chặn và chỉnh sửa lưu lượng xác thực.Khi người dùng truy cập vào một trang đăng nhập giả mạo, máy chủ AiTM sẽ gửi tới dịch vụ Microsoft Entra ID một chuỗi User-Agent đã bị thay đổi, khiến hệ thống xác định sai rằng thiết bị không hỗ trợ FIDO. Thay vì tiến hành xác thực bằng khóa bảo mật FIDO2/WebAuthn, hệ thống sẽ tự động chuyển sang phương thức xác thực dự phòng như Microsoft Authenticator, tin nhắn SMS hoặc mã OTP. Đây là những kênh có mức bảo mật thấp hơn và dễ bị chặn bắt trong môi trường tấn công mạng.
Lỗi đăng nhập (trái) và các tùy chọn dự phòng (phải)
Tại thời điểm chuyển đổi sang xác thực dự phòng, kẻ tấn công có thể đánh cắp cookie phiên hoặc token truy cập. Dữ liệu này cho phép chúng giành quyền truy cập hợp lệ vào tài khoản của nạn nhân mà không cần mật khẩu hay vượt qua thêm lớp xác thực. Khi đã kiểm soát phiên làm việc, tin tặc có thể triển khai các chiến dịch phishing nâng cao, di chuyển ngang trong hệ thống doanh nghiệp hoặc chiếm đoạt hoàn toàn danh tính số của người dùng.
Lỗ hổng Microsoft Office: Nguy cơ thực thi mã từ xa
Ba lỗ hổng nghiêm trọng dạng use-after-free vừa được phát hiện trong bộ ứng dụng Microsoft Office, gồm CVE-2025-53731, CVE-2025-53740 và CVE-2025-53730. Hai lỗ hổng đầu tiên được xếp loại Critical với điểm CVSS cao nhất 8.4, cho phép kẻ tấn công thực thi mã từ xa mà không cần bất kỳ tương tác nào từ người dùng. Các lỗ hổng này tác động trực tiếp đến những thành phần cốt lõi của Office, mở ra nguy cơ xâm nhập sâu vào hệ thống mà không để lại dấu hiệu rõ rệt.CVE-2025-53730 nhắm mục tiêu vào Microsoft Office Visio. Dù được phân loại ở mức quan trọng thay vì Critical, lỗ hổng này vẫn tiềm ẩn rủi ro lớn, đặc biệt đối với các tổ chức sử dụng Visio để thiết kế sơ đồ, bản vẽ kỹ thuật hoặc luồng dữ liệu nghiệp vụ. Trong các môi trường này, chỉ một tệp Visio bị khai thác cũng có thể trở thành điểm khởi đầu cho một chiến dịch tấn công quy mô lớn.
Bản chất use-after-free của các lỗ hổng này cho phép kẻ tấn công thao túng bộ nhớ đã được giải phóng nhưng chưa được xóa sạch, từ đó ghi đè hoặc chèn dữ liệu độc hại. Kỹ thuật này có thể vô hiệu hóa các cơ chế bảo vệ bộ nhớ hiện đại, mở đường cho việc triển khai malware, đánh cắp dữ liệu nhạy cảm hoặc duy trì quyền truy cập lâu dài trên hệ thống bị xâm nhập. Trong môi trường doanh nghiệp, mức độ nguy hiểm càng gia tăng khi Microsoft Office thường được tích hợp sâu với các dịch vụ đám mây và hệ thống quản lý tài liệu.
Microsoft Teams: RCE nguy hiểm cho dữ liệu người dùng
Microsoft Teams vừa phát hiện một lỗ hổng nghiêm trọng được gán mã CVE-2025-53783, là một lỗi tràn bộ đệm trên heap (heap-based buffer overflow). Khi bị khai thác, lỗ hổng cho phép kẻ tấn công đọc, ghi hoặc xoá tin nhắn người dùng trong môi trường Teams.Việc khai thác lỗ hổng yêu cầu tương tác từ phía người dùng và có độ phức tạp tương đối cao. Song điều này không làm giảm mức độ nghiêm trọng của sự cố bởi tấn công có thể dẫn đến chiếm đoạt tài khoản hợp lệ, mở đường cho việc lây lan sang các hệ thống hoặc dịch vụ liên quan khác. Trong môi trường doanh nghiệp hiện đại, Teams không chỉ là nền tảng nhắn tin mà còn là trung tâm kết nối với lịch biểu, tài liệu, SharePoint và các công cụ cộng tác khác, điều này khiến lỗ hổng này càng trở nên đáng lo ngại hơn bao giờ hết.
Sự xuất hiện đồng thời của các lỗ hổng trải rộng từ hạ tầng máy chủ, hệ điều hành, bộ ứng dụng văn phòng đến nền tảng cộng tác và xác thực danh tính cho thấy bề mặt tấn công của doanh nghiệp đang ngày càng mở rộng. Tin tặc không còn chỉ nhắm vào một điểm yếu đơn lẻ mà phối hợp khai thác nhiều mắt xích để xâm nhập và duy trì hiện diện lâu dài. Trong bối cảnh này, việc triển khai bản vá nhanh chóng, kết hợp với giám sát chủ động và kiểm thử an ninh định kỳ, không còn là lựa chọn mà là yêu cầu bắt buộc nếu tổ chức muốn bảo vệ dữ liệu, duy trì hoạt động và giữ vững niềm tin của khách hàng.
Tổng hợp