-
09/04/2020
-
122
-
1.280 bài viết
Lỗ hổng “ảnh JPEG độc hại” trong Windows: Một tấm ảnh có thể chiếm quyền cả hệ thống
Các chuyên gia đã tìm ra một lỗ hổng thực thi mã từ xa nguy hiểm trong Windows cho phép tin tặc chiếm toàn bộ quyền kiểm soát máy tính chỉ bằng một tệp JPEG được thiết kế đặc biệt. Không cần nhấp chuột, không cần mở ảnh, việc “xử lý tự động” của Windows Graphics Component đã đủ để hệ thống bị xâm nhập.
Được chấm điểm CVSS 9,8, lỗ hổng này ảnh hưởng đến Windows 11 và Windows Server 2025, trở thành mối đe dọa lớn đối với hàng tỷ thiết bị toàn cầu, đặc biệt khi ảnh JPEG xuất hiện ở mọi nơi: Email, Office, tài liệu PDF, file nén, ứng dụng chat… Lỗi đã được Microsoft phát hành bản vá vào Patch Tuesday ngày 12/08/2025, nhưng các hệ thống chưa cập nhật vẫn đang “mở cửa” cho tấn công.
Lỗ hổng CVE-2025-50165 xuất phát từ lỗi untrusted pointer dereference trong thư viện windowscodecs.dll (thành phần lõi xử lý hình ảnh JPEG trên Windows). Khi một JPEG độc hại được đưa vào hệ thống (như đính kèm trong tài liệu Office), Windows sẽ tự động đọc metadata của ảnh. Tại bước giải mã này, bộ nhớ bị thao túng khiến Windows truy cập sai vùng nhớ, mở đường cho thực thi mã tùy ý của kẻ tấn công.
Điều khiến CVE-2025-50165 đặc biệt nguy hiểm:
Quy trình khai thác thường diễn ra theo chuỗi:
Bước 1: Tạo JPEG độc hại
Ảnh có thể nằm trong:
Khi người dùng mở hoặc chỉ cần preview file, Windows Graphics Component sẽ:
Tin tặc dùng kỹ thuật ROP (Return Oriented Programming) để:
Lỗ hổng ảnh hưởng trực tiếp các hệ điều hành:
Các chuyên gia cho rằng nhóm đối tượng chịu ảnh hưởng nặng nề nhất từ lỗ hổng này chính là các doanh nghiệp lớn do luôn có một khối lượng tài liệu lớn chứa hình ảnh được lưu chuyển hàng ngày qua email, hệ thống nội bộ và các quy trình phê duyệt văn bản số hóa. Trong môi trường doanh nghiệp, đặc biệt là các đơn vị chính phủ, ngân hàng, tài chính hoặc những tổ chức vận hành hệ thống nghiệp vụ phức tạp, Windows 11 và Windows Server là hạ tầng mặc định. Điều này khiến những máy chưa kịp cập nhật bản vá trở thành mục tiêu đặc biệt hấp dẫn, khi chỉ một tệp JPEG độc hại cũng đủ mở đường cho tin tặc xâm nhập toàn bộ mạng nội bộ.
Nếu bị khai thác thành công, tác động của lỗ hổng không dừng ở mức chiếm quyền trên một máy lẻ. Tin tặc có thể kiểm soát hoàn toàn hệ thống bị nhiễm, triển khai mã độc tống tiền, mở backdoor để duy trì hiện diện, hoặc âm thầm di chuyển trong mạng doanh nghiệp để đánh cắp dữ liệu quan trọng. Trong nhiều tình huống, việc chiếm quyền từ một máy trạm là bước khởi đầu cho các chiến dịch gián điệp quy mô hoặc phá hoại toàn bộ hoạt động của doanh nghiệp.
Lý do khiến lỗ hổng này đặc biệt nguy hiểm nằm ở chính sự phổ biến của định dạng JPEG. Ảnh JPEG gần như hiện diện ở mọi giai đoạn của quy trình số, từ ảnh đính kèm trong email, hình chụp tài liệu đưa vào báo cáo, cho đến các hình minh họa trong file Word, PowerPoint hoặc banner trong tài liệu nội bộ. Ngay cả trên web, hệ thống CMS hay các ứng dụng chat phổ biến như Telegram, Zalo, Teams, số lượng hình ảnh được xử lý mỗi ngày là vô cùng lớn.
Trong hầu hết các trường hợp, Windows sẽ tự động hiển thị, giải mã hoặc tạo thumbnail ảnh mà không cần người dùng mở thủ công. Chính cơ chế xử lý “tự động cho tiện dụng” này lại trở thành điểm tấn công lý tưởng, chỉ cần một bức ảnh được tải xuống, xem nhanh trong thư mục hoặc xuất hiện trong tài liệu Office, quá trình giải mã nền của Windows Graphics Component đã đủ để kẻ tấn công kích hoạt mã độc. Đây là lý do các chuyên gia đánh giá rằng nguy cơ bị khai thác là rất cao nếu hệ thống chưa được cập nhật bản vá mới nhất từ Microsoft.
Đây là “điểm mù” trong nhiều năm, những định dạng tưởng chừng vô hại lại chứa mã độc có thể chiếm hệ thống từ tận lõi. Những thành phần tưởng chừng đơn giản như xử lý ảnh vẫn có thể trở thành điểm yếu chí tử cho toàn bộ hệ thống Windows. Khi một tấm ảnh có thể đánh bại mọi lớp phòng thủ, cập nhật bảo mật trở thành ưu tiên bắt buộc.
Microsoft đã phát hành bản vá nhưng thực tế cho thấy đa số các vụ tấn công lớn đều xảy ra trên các hệ thống không cập nhật kịp thời.
Được chấm điểm CVSS 9,8, lỗ hổng này ảnh hưởng đến Windows 11 và Windows Server 2025, trở thành mối đe dọa lớn đối với hàng tỷ thiết bị toàn cầu, đặc biệt khi ảnh JPEG xuất hiện ở mọi nơi: Email, Office, tài liệu PDF, file nén, ứng dụng chat… Lỗi đã được Microsoft phát hành bản vá vào Patch Tuesday ngày 12/08/2025, nhưng các hệ thống chưa cập nhật vẫn đang “mở cửa” cho tấn công.
Lỗ hổng CVE-2025-50165 xuất phát từ lỗi untrusted pointer dereference trong thư viện windowscodecs.dll (thành phần lõi xử lý hình ảnh JPEG trên Windows). Khi một JPEG độc hại được đưa vào hệ thống (như đính kèm trong tài liệu Office), Windows sẽ tự động đọc metadata của ảnh. Tại bước giải mã này, bộ nhớ bị thao túng khiến Windows truy cập sai vùng nhớ, mở đường cho thực thi mã tùy ý của kẻ tấn công.
Điều khiến CVE-2025-50165 đặc biệt nguy hiểm:
- Không cần tương tác của người dùng: Chỉ cần xem file qua File Explorer, Outlook, hoặc preview trong Office.
- Tấn công từ xa: Hoạt động qua file gửi email, tải web, drive-by download.
- Nhắm vào thành phần hệ thống sâu: Bypass nhiều lớp bảo vệ.
- Phổ biến: Mọi app dùng Windows Imaging Component đều bị ảnh hưởng.
- JPEG encoding/decoding trong windowscodecs.dll
- Các luồng xử lý metadata ảnh
- Chức năng ánh xạ file GpReadOnlyMemoryStream::InitFile
- CJpegTurboFrameEncode::HrWriteSource
- CFrameEncodeBase::WriteSource
Quy trình khai thác thường diễn ra theo chuỗi:
Bước 1: Tạo JPEG độc hại
- Tin tặc nhúng payload vào metadata của ảnh bằng cách thao túng kích thước buffer.
Ảnh có thể nằm trong:
- File Word/Excel/PowerPoint
- PDF hoặc file nén ZIP
- Ứng dụng chat hoặc email
Khi người dùng mở hoặc chỉ cần preview file, Windows Graphics Component sẽ:
- Ánh xạ ảnh vào bộ nhớ,
- Truy cập con trỏ không hợp lệ,
- Nhảy đến địa chỉ bộ nhớ do tin tặc kiểm soát.
Tin tặc dùng kỹ thuật ROP (Return Oriented Programming) để:
- Bypass Control Flow Guard trên hệ thống 64-bit
- Gọi VirtualAlloc để tạo vùng bộ nhớ R-W-X
- Đưa và chạy shellcode
- Thiết lập backdoor và persistence
Lỗ hổng ảnh hưởng trực tiếp các hệ điều hành:
| Sản phẩm | Phiên bản bị ảnh hưởng | Phiên bản đã vá |
|---|---|---|
| Windows Server 2025 | 10.0.26100.4851 | 10.0.26100.4946 |
| Windows 11 24H2 (x64/ARM64) | 10.0.26100.4851 | 10.0.26100.4946 |
| Windows Server 2025 Core | 10.0.26100.4851 | 10.0.26100.4946 |
Các chuyên gia cho rằng nhóm đối tượng chịu ảnh hưởng nặng nề nhất từ lỗ hổng này chính là các doanh nghiệp lớn do luôn có một khối lượng tài liệu lớn chứa hình ảnh được lưu chuyển hàng ngày qua email, hệ thống nội bộ và các quy trình phê duyệt văn bản số hóa. Trong môi trường doanh nghiệp, đặc biệt là các đơn vị chính phủ, ngân hàng, tài chính hoặc những tổ chức vận hành hệ thống nghiệp vụ phức tạp, Windows 11 và Windows Server là hạ tầng mặc định. Điều này khiến những máy chưa kịp cập nhật bản vá trở thành mục tiêu đặc biệt hấp dẫn, khi chỉ một tệp JPEG độc hại cũng đủ mở đường cho tin tặc xâm nhập toàn bộ mạng nội bộ.
Nếu bị khai thác thành công, tác động của lỗ hổng không dừng ở mức chiếm quyền trên một máy lẻ. Tin tặc có thể kiểm soát hoàn toàn hệ thống bị nhiễm, triển khai mã độc tống tiền, mở backdoor để duy trì hiện diện, hoặc âm thầm di chuyển trong mạng doanh nghiệp để đánh cắp dữ liệu quan trọng. Trong nhiều tình huống, việc chiếm quyền từ một máy trạm là bước khởi đầu cho các chiến dịch gián điệp quy mô hoặc phá hoại toàn bộ hoạt động của doanh nghiệp.
Lý do khiến lỗ hổng này đặc biệt nguy hiểm nằm ở chính sự phổ biến của định dạng JPEG. Ảnh JPEG gần như hiện diện ở mọi giai đoạn của quy trình số, từ ảnh đính kèm trong email, hình chụp tài liệu đưa vào báo cáo, cho đến các hình minh họa trong file Word, PowerPoint hoặc banner trong tài liệu nội bộ. Ngay cả trên web, hệ thống CMS hay các ứng dụng chat phổ biến như Telegram, Zalo, Teams, số lượng hình ảnh được xử lý mỗi ngày là vô cùng lớn.
Trong hầu hết các trường hợp, Windows sẽ tự động hiển thị, giải mã hoặc tạo thumbnail ảnh mà không cần người dùng mở thủ công. Chính cơ chế xử lý “tự động cho tiện dụng” này lại trở thành điểm tấn công lý tưởng, chỉ cần một bức ảnh được tải xuống, xem nhanh trong thư mục hoặc xuất hiện trong tài liệu Office, quá trình giải mã nền của Windows Graphics Component đã đủ để kẻ tấn công kích hoạt mã độc. Đây là lý do các chuyên gia đánh giá rằng nguy cơ bị khai thác là rất cao nếu hệ thống chưa được cập nhật bản vá mới nhất từ Microsoft.
Đây là “điểm mù” trong nhiều năm, những định dạng tưởng chừng vô hại lại chứa mã độc có thể chiếm hệ thống từ tận lõi. Những thành phần tưởng chừng đơn giản như xử lý ảnh vẫn có thể trở thành điểm yếu chí tử cho toàn bộ hệ thống Windows. Khi một tấm ảnh có thể đánh bại mọi lớp phòng thủ, cập nhật bảo mật trở thành ưu tiên bắt buộc.
Microsoft đã phát hành bản vá nhưng thực tế cho thấy đa số các vụ tấn công lớn đều xảy ra trên các hệ thống không cập nhật kịp thời.
Các chuyên gia khuyến cáo người dùng:
- Cập nhật Windows ngay lập tức (Patch Tuesday 12/08/2025).
- Ưu tiên vá các hệ thống:
- Máy chủ, máy người dùng đặc quyền, máy có dữ liệu nhạy cảm.
- Tắt preview tự động trong Outlook/File Explorer nếu chưa thể vá.
- Cô lập và sandbox mọi tài liệu nhận từ bên ngoài.
- Triển khai EDR có khả năng phát hiện ROP và VirtualAlloc bất thường.
- Huấn luyện nhân viên cẩn trọng với file Office có hình ảnh nhúng.
WhiteHat